Mikrotik vpn pptp настройка: Настройка PPTP Server Mikrotik. :: Настройка оборудования Mikrotik :: Настройка оборудования

Содержание

Mikrotik настройка vpn pptp server на routeros

Подключение к провайдеру по L2TP/PPTP

Честно говоря я не припоминаю чтоб хотя бы раз настраивал такое подключение, но в некоторых странах этот тип подключений по прежнему остается широко распространенным, поэтому рассмотрим и его. Оба типа подключения требуют предварительной настройки IP-адреса и возможно прописывания маршрутов, подробности обычно можно узнать на сайте провайдера или в его поддержке. Предполагается что с этим вы разобрались и настроили статический или динамический IP-адрес по инструкции выше, а так же узнали логин, пароль и адрес VPN сервера для подключения.
Настройка аналогична PPPoE:
Добавляем интерфейс PPTP/L2TP: PPP > + > PPTP Client или L2TP Client смотря что у Вас, на вкладке General укажите имя подключения (например ISP1), а на вкладке Dial out нужно указать адрес сервера, логин, пароль, в Profile выбрать Default, поставить галку Add default route и выставить Distance = 1

Изменять/заполнять нужно только выделенные поля

Команды для консоли:

Для pptp-client:/interface pptp-client add name=ISP1 disabled=no connect-to=Адрес сервера user=Логин password=Пароль add-default-route=yes default-route-distance=1 profile=default

Для l2tp заменить pptp-client на :/interface l2tp-client add name=ISP1 disabled=no connect-to=Адрес сервера user=Логин password=Пароль add-default-route=yes default-route-distance=1 profile=default

Site to site

Все настройки находятся в IP – IPSEC. Данный метод предназначен для развёртывания между удаленными площадками. Обязательным условием является наличие статических публичных адресов для обоих участников туннеля. Параметры идентичны, за исключением маленьких деталей. Отлично подходит для голосового трафика, т.к. все данные будут инкапсулированы в UDP

Запасаемся терпением и вниманием. Надеюсь, что все помнят простое правило по неиспользованию стандартных профилей

Создаем одинаковый профиль на обоих устройствах.

Далее создаем предложения.

Далее нужно создать пиров. Направляем их друг на друга и указываем раннее созданные профили. Пишем в поле Local Address тот адрес роутера, с которого хотите инициировать соединение. Это особенно актуально если у вас их несколько или нужно инициировать соединение с определенного. Т.к. у нас всего по одному адресу – укажем их.

Далее создаем группы.

Еще не все. Следующий пункт — Identity.

И вишенкой на торте Policies. На вкладке General указываем адреса источника и назначения. Соответственно направляем друг на друга. 1701 это UDP порт L2TP.

Переходим в Action. Обязательно выбираем параметр Level в unique. Особенно полезно будет для тех, кто планирует много шифрованных туннелей.

Сохраняем и проверяем.

Established в конце строки пира SPB означает что согласование прошло успешно и оно устоялось. Откроем Installed SAs и посмотрим на наши ключики.

Все как мы и заказывали. Ну и наконец проверим наше L2TP соединение. Все должно зашифроваться без переподключений.

Настройка dhcp сервера

Для того, чтобы подключенные устройства могли получать сетевые настройки автоматически с роутера, на нем необходимо настроить DHCP сервер. Делается это не сложно, я сейчас по шагам все распишу. Идем в IP -> DHCP, переходим на вкладку DHCP и нажимаем DHCP Setup. Нам предлагают выбрать интерфейс, на котором будет работать сервер. Выбираем bridge1.

Жмем next. Теперь нужно выбрать адресное пространство, из которого будут выдаваться ip адреса. По-умолчанию указана подсеть, в которую входит ip адрес роутера. На это подходит, оставляем значение по-умолчанию 192.168.9.0/24.

Дальше нужно указать адрес шлюза, который будут получать клиенты. Так как для них шлюзом будет выступать сам микротик, оставляем его адрес, который уже предложен.

Теперь нужно указать диапазон адресов, которые будут выдаваться клиентам. Если вам не принципиально и вы не знаете, зачем его нужно менять, то оставляйте как есть. Будут использованы все свободные адреса подсети.

На последнем этапе вводим адрес dns сервера, который будет выдаваться клиентам. Это может быть как сам микротик, так и dns сервер провайдера. Это не принципиально, но лучше указать сам роутер. Так что пишем туда локальный адрес 192.168.9.1.

Следующий параметр оставляем по-умолчанию и жмем Next. На этом настройка dhcp сервера для локальной сети закончена.

Если мы сейчас проводом подключим любого клиента к mikrotik, то он получит сетевые настройки, но в интернет выйти не сможет

Не хватает еще одной важной настройки — NAT

Что такое VPN и где применяется

VPN сервер популярное средство для удаленного подключения одного ПК(или 100 ПК) к центральному узлу, а также для объединения офисов. Реализация такого сервиса есть масса, но на MikroTik работает быстро и без инцидентов по недоступности.

Для удаленного доступа сотрудников

Доступ к рабочему пространству с любого места, где есть интернет. Почта, сетевые папки, принтер, 1с – все это становится доступным.

Доступ к облачному серверу

Закрытый канал для доступа к корпоративному или частному серверу, расположенному в облаке.

Мы поможем настроить: маршрутизатор(роутер), точку доступа или коммутатор.

Заказать

Чем отличается PPTP от L2TP и других VPN серверов

PPTP – самый распространенный протокол VPN. Представляет собой связку протокола TCP, который используется для передачи данных, и GRE – для инкапсуляции пакетов. Чаще всего применяется для удаленного доступа пользователей к корпоративной сети. В принципе, может использоваться для многих задач VPN, однако следует учитывать его изъяны в безопасности – отсутствие шифрования. Данные передаваемые в туннеле PPTP могут быть подвержены зеркалированию в другой интернет канал, что подвергает опасности коммерческой информации.

В качестве рабочих решений по организации удаленного доступа могут выступать любые VPN сервера с поддержкой шифрования: L2TP, IpSec.

Как настроить PPTP VPN сервер в MikroTik

Для VPN клиентов создаётся отдельная подсеть, это добавит больше возможностей в ограничении доступа между VPN клиентами и локальной сетью, а также в самой маршрутизации. Другими словами эта реализация обеспечивает сетевую безопасность на уровне Firewall-а.

Настройка находится IP->Pool

/ip pool add name=LAN-Ip-Pool ranges=192.168.10.100-192.168.10.150

Настройка находится PPP->Profile

Предварительно нужно задать сетевые параметры для VPN клиентов

/ppp profile
add dns-server=192.168.10.1 local-address=\
192.168.10.1 name=VPN-Server remote-address=VPN-Ip-Pool

Настройка находится PPP->Interface->PPTP Server

/interface pptp-server server
set authentication=mschap2 default-profile=VPN-Server enabled=yes

Этой учётной записью будет пользоваться VPN клиент для удаленного подключения к VPN серверу.

Настройка находится PPP->Interface->Secrets

/ppp secret
add name=user1 password=user1 service=pptp profile=VPN-Server

Настройка находится IP->Firewall

/ip firewall filter
add action=accept chain=input comment="Port Access" dst-port=1723 \
in-interface-list=WAN-Interface-List protocol=tcp

Настройка интернета для VPN клиентов PPTP в MikroTik

Этот вопрос будет вынесен за рамки данной статьи, т.к. относится с дополнительным сервисам для VPN клиентов. Таких сервисов может быть множество и все они имеют индивидуальных характер(для тех кто ищет: нужно настроить и разрешить DNS запросы и Masquerade).

В этой настройке будут участвовать два роутера MikroTik, один в качества сервера, другой в качестве клиента

На этапе создание такого подключения стоит обратить внимание на модель MikroTik, т.к. от неё зависит количество VPN подключений, а также возможность обрабатывать такие потоки данных

Для консультации по этому вопросу обращайтесь в Настройка-Микротик.укр через контактную форму.

Для объединения двух офисов и работы маршрутизации данную настройку лучше разбить на два блока:

  1. Настройка клиент-серверной части;
  2. Добавление статических маршрутов для прохождения трафика.

Серверная часть была описана ваше, но требует корректировки в виде статических адресов для VPN клиента

Настройка находится PPP->Interface->Secrets

/ppp secret
add local-address=192.168.10.1 name=user2 password=user2 profile=VPN-Server \
remote-address=192.168.10.2

а клиентская часть состоит из настройки PPTP клиента.

Настройка находится PPP->Interface->+PPTP Client

/interface pptp-client
add connect-to=90.200.100.99 disabled=no name=\
pptp-out1 password=user2 user=user2

Это правило укажет роутеру MikroTik куда направлять трафик.

Настройка находится IP->Routes

/ip route
add distance=1 dst-address=192.168.88.0/24 gateway=192.168.10.2

где

  • 192.168.88.0/24 – сеть за 2-ым MikroTik-ом, который выступает в роли ppptp клиента;
  • 192.168.10.2 – IP адрес 2-ого MikroTik-а.

Настройка находится IP->Routes

/ip route
add distance=1 dst-address=192.168.0.0/24 gateway=192.168.10.1

где

  • 192.168.5.0/24 – сеть 1-ого MikroTik-ом, который выступает в роли ppptp сервера;
  • 192.168.10.1 – IP адрес 1-ого MikroTik-а.

Создание VPN подключения PPTP Windows

ОС семейства Windows имеют штатный VPN клиент, который отлично подходит под эту роль. Для его настройки нужно перейти

Панель управления\Сеть и Интернет\Центр управления сетями и общим доступом

Настройка

Настройка первого маршрутизатора


Через графический интерфейс

Включить SSTP-сервер. Оставим только аутентификацию «mschap2» как наиболее надежную и отключим проверку клиентского сертификата.

Создать новый аккаунт. Для дальнейшего удобства лучше задавать имена так, что бы сразу можно было определить к кому или чему они относятся. Т. е. имена типа user1, user2, user3 и т. д. не желательны в виду того, что в случае увеличения их количества будет тяжело сопоставить реальных пользователей аккаунтов и сами аккаунты.

Создать статическую запись SSTP сервера. Это действие не обязательно, т. к. если запись не создать вручную, то при каждом подключении она будет создаваться динамически. Но при этом наличие этой записи облегчает дальнейшую настройку и диагностику.

Через консоль

Настройка второго маршрутизатора


Через графический интерфейс

Создать интерфейс для подключения к первому маршрутизатору. Здесь так же оставляем только аутентификацию «mschap2».

Через консоль

Настройка маршрутизации


Если на предыдущих шагах все было сделано верно, то VPN-соединение между двумя офисами было установлено, но для того, что бы обе сети могли обмениваться информацией друг с другом они должны знать друг о друге, т. е. между ними должна быть настроена маршрутизация. Для этого надо выполнить следующие шаги:

На первом маршрутизаторе

Через графический интерфейс
Выполнить следующие настройки:Dst. Address: 192.168.25.0/24 (адрес сети к которой указываем маршрут)Gateway: 172.16.30.2 (интерфейс через который можно «добраться» до сети)Pref. Source: 192.168.15.1 (интерфейс с которого будут идти запросы к сети)
Комментарий указать по нажатию кнопки «Comment» (не обязательно)

Через консоль

На втором маршрутизаторе

Через графический интерфейс
Выполнить следующие настройки:Dst. Address: 192.168.15.0/24 (адрес сети к которой указываем маршрут)Gateway: 172.16.30.1 (интерфейс через который можно «добраться» до сети)Pref. Source: 192.168.25.1 (интерфейс с которого будут идти запросы к сети)
Комментарий указать по нажатию кнопки «Comment» (

не обязательно)

Через консоль

HQ — это аббревиатура от headquarter, что в переводе означает головной офис.

Примечание: Параметр Pref. Source (pref-src) не является обязательным. Он становится нужен, если количество филиалов будет более одного. Без этого параметра не будут проходить ping’и с маршрутизатора одного филиала до хостов и внутреннего интерфейса маршрутизатора другого филиала. Не будут проходить ping’и именно с маршрутизаторов, т. е. между хостами двух филиалов связь будет.

Как в Телеграм скрыть время посещения на английском

Если пользователь эксплуатирует английскую версию популярного приложения, у него могут возникнуть трудности с пониманием языка и, соответственно, настройками работы платформы. Как скрыть время посещения в телеграмме при подобных трудностях? В английской версии мессенджера используется несколько обозначений, указывающих на время нахождения пользователя-собеседника в сети:

  • last seen recently – на английском – недавно находился в сети, не более двух-трех дней назад;
  • within a week – подключался к сервису в течение текущей недели;
  • within a month – посещал приложение в течение текущего месяца;
  • long time ago – последний раз заходил в сеть месяц назад или больше того.

Чаще всего последнее обозначение говорит о сокрытии пользователем верного времени пребывания в сети. Данное утверждение не всегда является правдивым и требует проверки.

К вопросам времени в английской версии также относится функция self dеstruct, задающая время самоуничтожения переданного через приложение сообщения или файла. Она поможет обезопасить от попадания конфиденциальной информации к третьим лицам.

В русскоязычном варианте мессенджера также присутствует соответствующая информация. Для того, чтобы ее узнать, необходимо выбрать пользователя и кликнуть по его имени в списке контактов. В открытом окне будет отображена информация о дате и времени последнего посещения сети.

Сброс настроек роутера

Подключаем роутер к сети, подаем питание и запускаем на компьютере winbox. Переходим на вкладку Neighbors и ждем, когда утилита найдет наш микротик. Это может занять какое-то время. На всякий случай можно нажать Refresh, если роутер долго не обнаруживается.

Нажимаем на мак адрес устройства, он должен будет скопироваться в поле Connect To. Пароль по-умолчанию для входа в роутеры mikrotik — пустой, а пользователь — admin. Вводим имя пользователя, поле с паролем оставляем не заполненным. Нажимаем connect. Нас встречает информационное окно, в котором приведено описание стандартных настроек.

Здесь их можно либо оставить, либо удалить. Я всегда удаляю, так как стандартные настройки чаще всего не подходят под конкретную ситуацию. Приведу несколько примеров, почему это так:

  1. Я запитал свой роутер по первому порту через poe адаптер и поэтому вынужден использовать этот порт как локальный. В настройках по-умолчанию этот порт используется как wan порт для получения интернета от провайдер.
  2. В настройках по-умолчанию установлено автоматическое получение настроек от провайдера по dhcp. Если у вас другой тип подключения, то вам стандартная настройка не подходит.
  3. По-умолчанию устанавливается адресное пространство 192.168.88.0/24. Мне лично не нравятся сетки по-умолчанию, так как если в них случайно воткнуть новое устройство, где будет так же забит умолчательный адрес, то в сети начнутся проблемы. Дома может это и не актуально, но в коммерческих организациях мне приходилось с этим сталкиваться. Поэтому я на всякий случай сетку всегда меняю.

Так что мы нажимаем Remove Configuration, чтобы удалить настройки. После этого роутер перезагрузится. Ждем примерно минуту и подключаемся к нему снова.

Если вы по какой-то причине не удалили сразу предустановки, то выполнить сброс настроек в mikrotik на заводские можно позже. Для этого надо в терминале набрать сначала system, а затем reset. У вас спросят подтверждение и после этого routerboard перезагрузится с заводскими настройками.

Настройка VPN-соединения с помощью PPtP

Пошагово распишем настройку подключения к корпоративным сетям на примере наиболее известного протокола PPtP. Данный протокол объединяет в себе два других – TCP и GRE, первый из которых позволяет передавать данные, а второй используется для формирования пакетов (или инкапсуляции) для передачи по каналам связи. Данный протокол нашел свое применение в подключении пользователей к корпоративной сети, однако стоит помнить, что применение этого протокола не гарантирует полной безопасности передаваемой информации.

Настройка VPN через MikroTik с использованием протокола PPtP довольна проста. Для этого потребуется выполнить несколько действий:

  • Создать VPN сервер на MikroTik роутере, который позволит участникам беспрепятственно пользоваться сетью;
  • Завести для всех пользователей отдельный профиль с индивидуальными идентификаторами для быстрого самоопределения на сервере;
  • Прописать исключающие правила для Firewall, которые позволят беспрепятственно работать и передавать данные.

Для создания PPtP-сервера необходимо обратиться в меню PPP, после чего перейти на вкладку Interface. В предложенном списке необходимо поставить галочку напротив PPtP-сервера, а также снять отметки с алгоритмов pap и chap – как показано на рисунке.

Для создания профилей участников сети в этом же разделе меню необходимо кликнуть по вкладке Secrets, где нажатием кнопки «+» добавляется требуемое количество клиентов сети.

В соответствующих строках Name и Password прописываются уникальные логин и пароль, с помощью которых будет проходить процедура идентификации пользователя на сервере.

В строке Service необходимо указать тип протокола передачи данных (в нашем случае это PPtP), в строке Local Address прописывается IP-адрес вашего роутера, используемого как сервер, в строке Remote Address указывается IP-адрес данного пользователя. Алгоритм действий повторяется для каждого участника сети. Стоит помнить, IP-адреса абсолютно для всех пользователей должны быть разными, как и логин с паролем.

Прописать исключающие правила для Firewall также не составит большого труда. Для этого необходимо сделать открытым 1723 порт, позволяющий передавать пакеты информации по TCP-протоколу, и разрешить работу по протоколу GRE. Эти действия обеспечат бесперебойную работу VPN-соединения на роутере MikroTik. Для этого во время настройки соединения необходимо последовательно перейти в подразделы меню IP и Firewall, после чего выбрать вкладку Filter Rules. Здесь простым нажатием кнопки «добавить» (или «+») прописываются все правила-исключения. В строке Chain прописывается входящий трафик (input), в строке Protocol необходимо указать TCP, а в строке Dst. Port прописывается значение порта туннеля «1723».

Точно таким же способом добавляется исключающее правило для GRE с тем лишь отличием, что в строке Protocol прописывается значение «GRE». В обоих случаях необходимо указать пункт «accept» на вкладке Action .

Оба правила должны находиться в самом верху списка, раньше запрещающих, в противном случае они просто не будут работать. В настройках роутера Mikrotik это можно осуществить простым перетаскиванием необходимых правил в пункте меню FireWall.

Выполнив эти простые действия, вы сможете без труда подготовить к работе VPN-сервер для работы под протоколом PPtP.

С клиентской стороны настройка подключения осуществляется намного проще и включает в себя непосредственное создание VPN-подключения с указанием адреса сервера и идентификационных данных пользователя (логина и пароля).

Видео по теме

Быстрого Вам интернета!

Выбор протокола для VPN

В этой статье мы рассмотрим два наиболее популярных протокола: PPPoE и PPtP.

PPtP чаще всего используется для удалённого доступа к корпоративной сети. К его преимуществам относят простоту настройки и стабильность. Среди минусов — сравнительно слабая система защиты, наличие изъянов в безопасности, невозможность использовать динамические IP-адреса. Настройку PPtP можно представить в виде простой последовательности:

  1. Создание сервера на маршрутизаторе.
  2. Создание и подключение профилей пользователей.
  3. Запись исключений для файервола.

PPPoE — протокол, популярный среди провайдеров интернета. Он отличается хорошей масштабируемостью (вы без особого труда сможете расширить сеть), стабильностью, устойчивостью к атакам, использующим уязвимости протокола ARP. При подключении на PPPoE можно использовать динамические адреса и не прописывать IP каждому конечному узлу сети. Минус РРРоЕ — более сложный процесс подключения.

Видеоурок

Смена пароля администратора по-умолчанию

Как я уже писал ранее, пароль администратора по-умолчанию в mikrotik не задан, он пустой. Имя пользователя — admin. Давайте установим свой пароль для ограничения доступа посторонних к настройкам. Для этого идем в раздел System -> Users. Выбираем единственного пользователя admin, жмем правой кнопкой мыши и выбираем самый последний пункт password.

В открывшемся окошке 2 раза вводим свой пароль и сохраняем его. Теперь, чтобы подключиться через winbox нужно будет указать не только пользователя admin, но и установленный пароль.

В свете последних взломов микротика, я настоятельно рекомендую не просто установить сложный пароль на административную учетную запись, а создать полностью новую, с именем пользователя отличным от admin. Для этого в списке пользователей, жмите плюсик и создавайте нового пользователя.

После этого, пользователя admin можно отключить.

Установка CHR

Решений явно много, но я использовал свой сценарий с удаленной загрузкой образа диска из Windows. Общий смысл такой: на сервере запускаем утилиту nc, которая ожидает входящие подключения и данные полученные в этом подключении она будет передавать утилите dd, которая полученные данные запишет прямо на диск. Утилите nc данные будем передавать с Windows машины, при помощи специально написанной для этого утилиты chr.copytonet.

Приступим:

  1. Создаем виртуальную машину с Debian 7/8;
  2. Подключаемся к созданной машине через SSH. В Windows среде – putty;
  3. Если вы выбрали IPHoster, то нужно посмотреть настройки IP, т.к. их вручную придется вносить в CHR;
  4. Скачиваем приложение chr.copytonet. Оно необходимо как замена Linux клиенту nc.
  5. Скачиваем RAW (Raw disk image) образ Cloud Hosted Router – https://mikrotik.com/download и кладем рядом с chr.copytonet;
  6. Запускаем chr.copytonet и следуем инструкциям (по умолчанию подходят для hexcore).
  7. Сразу после успешного завершения – в SSH консоли сервера выполняем команду: reboot. Машина перезагрузится.
  8. У hexcore есть DHCP поэтому CHR сразу получит настройки IP по этому IP сразу можно подключиться при помощи winbox и выполнять нужные настройки. Естественно первым делом сменив пароль пользователя admin. Через 10 минут простоя увидите кучу попыток входа (подбора пароля).

Дальнейшая настройка VPN каналов делается так.

Если в вашем удаленном офисе/дома у админа стоит Mikrotik который не обеспечивающий нужной пропускной способности можно заставить рабочую станцию самостоятельно установить VPN подключение, соответственно шифрование и обеспечение канала будет за счет ресурсов этой станции, а не микротика удаленного офиса.

Простая настройка

Предполагает быстрое развертывание на сервере и клиенте. Она более всего подходит для инсталляций, когда вы планируете чтобы к вам подключалось много мобильных устройств или устройств находящихся за NAT-ом. На московском роутере проверим состояние клиентского подключения. Переходим PPP – Interface – SPB-Office – Status.

С соединением все в порядке. В строке Encoding видим стандартное шифрование протокола L2TP. Открываем свойства сервера L2TP. Ставим required на параметре Use IPsec и указываем пароль.

Сохраняем. Клиентское соединение пропадает, т.к. теперь мы требуем согласование протокола IPSEC. Видим соответствующее сообщение в логах сервера. Оно говорит о том, что подключение было отброшено.

Подключаемся к клиентскому Mikrotik в Питере, открываем PPP – Interface – выбираем интерфейс to-MSC и открываем вкладку Dial Out. Ставим галочку на UseIPsec и задаем пароль, установленный на сервере.

После нажатия кнопки Apply проверим состояние подключения на вкладке Status.

Строка Encoding изменилась на более внушительное значение, что символизирует об успешном согласовании.

Уничтожение сообщений по времени

Секретные чаты, самая обсуждаемая функция Telegram, умеют удалять сообщения автоматически. Они исчезают через некоторое время после того, как собеседник их прочитал. Перейдите в настройки секретного чата, выберите Set Self-Destruct Timer и установите время, спустя которое сообщения удалятся автоматически. Минимальное время — одна секунда, максимальное — одна неделя.

Загрузка…

Настройка клиента Mikrotik — Сеть без проблем

В этой статье подробно объясняется, как установить VPN-соединение с маршрутизатором Mikrotik, используя любой протокол PPTP.

Для начала войдите в свой роутер, используя стандартное имя пользователя «admin», с пустым паролем.

После входа в систему нажмите на вкладку «PPTP» в левом меню. Вы должны открыть вкладку «Интерфейс». Теперь нажмите на войдите и выберите «Клиент PPTP».

(Пожалуйста, убедитесь, что вы ввели правильные данные в соответствующие поля, без этого mikrotik настройка не будет возможна. Используйте изображения в качестве руководства).

Это новое окно, которое вы открыли, где вы создадите ваше PPTP VPN соединение. Пожалуйста, измените настройки следующим образом:

  • Имя: в этом поле вы можете ввести все, что вам нравится, например, «HMA PPTP».
  • Max MTU и Max MRU: оставьте их по умолчанию, поэтому 1450.
  • Когда вы закончите, пожалуйста, нажмите на вкладку «Dial Out» (прямо рядом с вкладкой «General»).

Теперь на вкладке «Dial Out» измените настройки, как описано ниже:

  • Подключиться к: Выберите любой IP-адрес VPN-сервера, к которому вы хотите подключиться, с панели управления VPN.
  • Пользователь: Ваше имя пользователя HMA
  • Пароль: введите свой специальный пароль IPSec . Это можно найти, войдя в панель управления VPN.
  • Разрешить: Оставьте все методы проверки подлинности отмеченными, как это должно быть уже по умолчанию.
  • Нажмите «ОК», когда вы закончите. (Пожалуйста, дважды проверьте все настройки, прежде чем нажать «ОК»)

Теперь перейдите на вкладку «IP» в левой части панели и выберите «Брандмауэр». Нажмите на вкладку «NAT», а затем нажмите на знак, как показано ниже.

Теперь вы должны быть в «общих» настройках, поэтому выполните следующее:

  • В «Цепи» выберите «srcnat» из выпадающего меню
  • В «Out. Interface» выберите имя только что созданного PPTP-соединения HMA.
  • Нажмите на вкладку «Действие», когда вы закончите.

В поле «Действие» выберите «Маскарад» из выпадающего меню.

Нажмите «ОК», когда вы закончите.

Теперь, когда вы вернулись в окно «Брандмауэр», нажмите на вкладку «Mangle», нажмите на подписать:

В «Chain» выберите «prerouting» из выпадающего меню.

В поле «Src. Adress» введите диапазон IP-адресов, который вы хотите маршрутизировать через VPN-соединение. Для маршрутизации всех IP-адресов в подсети маршрутизаторов Mikrotik (при условии, что маршрутизатор — 192.168.5.1 ), введите «192.168.5.100-192.168.5.150».

Когда вы закончите, нажмите на вкладку «Действие».

Теперь, когда вы находитесь на вкладке «Действие», измените настройки, как описано ниже:

  • В поле «Действие» выберите «отметить маршрут» в раскрывающемся меню.
  • В поле «Новая метка маршрутизации» введите любое имя для метки маршрутизации, например «PPTP».
  • Отметьте опцию «Сквозной».
  • Нажмите «ОК», когда вы закончите.

Теперь нажмите на «IP» (в боковом меню слева). В окне «Список маршрутов» нажмите «Маршруты», а затем нажмите на подписать.

  • Dst. Адрес: должен быть «0.0.0.0/0«
  • Шлюз: введите имя VPN-соединения, которое вы создали. (в данном случае это «HMA PPTP») из выпадающего меню.
  • Маршрутная метка: выберите метку маршрутизации, которую вы создали ранее. (например, «PPTP»)
  • Нажмите «ОК», когда вы закончите.

Теперь вам нужно настроить параметры DNS, поэтому для этого выполните следующие действия. Чтобы начать, перейдите к «IP» в левом меню и затем нажмите «DNS».

Нажмите на «Статический», а затем нажмите на подписать

В поле «Имя» введите «OpenDNS1»; «Адрес»: «208.67.222.222» и нажмите «ОК».

Затем нажмите на снова, но на этот раз в поле «Имя» введите: «OpenDNS2» и в поле «Адрес»: «208.67.220.220» и снова нажмите «ОК».

Еще раз, нажмите на подписать, и теперь в поле «Имя» введите: «Google1» и в поле «Адрес» введите: «8.8.8.8» и снова нажмите «ОК».

И в последний раз, нажмите на и в поле «Имя» введите: «Google2», а в поле «Адрес» введите: «8.8.4.4» и снова нажмите «ОК».

Установите флажок «Разрешить удаленные запросы».
Нажмите «ОК».

Проверьте свое местоположение

Наконец, вы можете проверить свое новое местоположение, перейдя по ссылке http://geoip.hidemyass.com/

Настройка vpn через mikrotik

Настройка D-Link DIR-100

Для настройки интернета на этом оборудовании, прежде всего, включите маршрутизатор в сеть, подключите к разъёму WAN-кабель провайдера, в гнездо LAN – сетевой шнур для соединения с компьютером .

Заходим в параметры устройства через браузер следующим образом:

  • Вбиваем в адресной строке комбинацию 192.168.0.1., вводим в появившихся полях логина и пароля слово «Admin».
  • Вы увидите интерфейс настроек, где в верхней строке нужно выбрать меню Setup.
  • В левом столбике открываем строку Internet Setup и переходим к установке параметров – нажмите на кнопку Manual Internet Connection Setup.

  • В появившемся окне выбираем тип соединения – в зависимости от вашего провайдера. В большинстве случаев это DHCP, который предполагает автоматическое получение адреса.
  • В следующем окне отмечаем тип IP-адреса – динамический или статический, в строки имени пользователя и пароля введите информацию из договора с поставщиком услуги.
  • Введите статический IP-адрес, если это необходимо, MAC-адрес оборудования.
  • Отметьте кружком вариант Always-On, чтобы подключение всегда было включённым по умолчанию.

Подключение к провайдеру по L2TP/PPTP

Честно говоря я не припоминаю чтоб хотя бы раз настраивал такое подключение, но в некоторых странах этот тип подключений по прежнему остается широко распространенным, поэтому рассмотрим и его. Оба типа подключения требуют предварительной настройки IP-адреса и возможно прописывания маршрутов, подробности обычно можно узнать на сайте провайдера или в его поддержке. Предполагается что с этим вы разобрались и настроили статический или динамический IP-адрес по инструкции выше, а так же узнали логин, пароль и адрес VPN сервера для подключения.
Настройка аналогична PPPoE:
Добавляем интерфейс PPTP/L2TP: PPP > + > PPTP Client или L2TP Client смотря что у Вас, на вкладке General укажите имя подключения (например ISP1), а на вкладке Dial out нужно указать адрес сервера, логин, пароль, в Profile выбрать Default, поставить галку Add default route и выставить Distance = 1

Изменять/заполнять нужно только выделенные поля

Команды для консоли:

Для pptp-client:/interface pptp-client add name=ISP1 disabled=no connect-to=Адрес сервера user=Логин password=Пароль add-default-route=yes default-route-distance=1 profile=default

Для l2tp заменить pptp-client на :/interface l2tp-client add name=ISP1 disabled=no connect-to=Адрес сервера user=Логин password=Пароль add-default-route=yes default-route-distance=1 profile=default

Роутеры с поддержкой VPN-сервера

Роль сервера для подключения к VPN может выполнять не только оборудование провайдера или пользовательский компьютер, но и роутер с поддержкой функции vpn-сервера. Для домашней или корпоративной сети гораздо удобнее настроить VPN-подключение на маршрутизаторе, чем задавать настройки для каждого сетевого устройства по отдельности.

Многие современные маршрутизаторы имеют встроенный VPN-сервер. У каждого производителя есть ряд моделей с поддержкой этой функции, например:

Что такое VPN и где применяется

VPN сервер популярное средство для удаленного подключения одного ПК(или 100 ПК) к центральному узлу, а также для объединения офисов. Реализация такого сервиса есть масса, но на MikroTik работает быстро и без инцидентов по недоступности.

Для удаленного доступа сотрудников

Доступ к рабочему пространству с любого места, где есть интернет. Почта, сетевые папки, принтер, 1с – все это становится доступным.

Доступ к облачному серверу

Закрытый канал для доступа к корпоративному или частному серверу, расположенному в облаке.

Мы поможем настроить: маршрутизатор(роутер), точку доступа или коммутатор.

Заказать

Чем отличается PPTP от L2TP и других VPN серверов

PPTP – самый распространенный протокол VPN. Представляет собой связку протокола TCP, который используется для передачи данных, и GRE – для инкапсуляции пакетов. Чаще всего применяется для удаленного доступа пользователей к корпоративной сети. В принципе, может использоваться для многих задач VPN, однако следует учитывать его изъяны в безопасности – отсутствие шифрования. Данные передаваемые в туннеле PPTP могут быть подвержены зеркалированию в другой интернет канал, что подвергает опасности коммерческой информации.

В качестве рабочих решений по организации удаленного доступа могут выступать любые VPN сервера с поддержкой шифрования: L2TP, IpSec.

Как настроить PPTP VPN сервер в MikroTik

Для VPN клиентов создаётся отдельная подсеть, это добавит больше возможностей в ограничении доступа между VPN клиентами и локальной сетью, а также в самой маршрутизации. Другими словами эта реализация обеспечивает сетевую безопасность на уровне Firewall-а.

Настройка находится IP->Pool

/ip pool add name=LAN-Ip-Pool ranges=192.168.10.100-192.168.10.150

Настройка находится PPP->Profile

Предварительно нужно задать сетевые параметры для VPN клиентов

/ppp profile
add dns-server=192.168.10.1 local-address=\
192.168.10.1 name=VPN-Server remote-address=VPN-Ip-Pool

Настройка находится PPP->Interface->PPTP Server

/interface pptp-server server
set authentication=mschap2 default-profile=VPN-Server enabled=yes

Этой учётной записью будет пользоваться VPN клиент для удаленного подключения к VPN серверу.

Настройка находится PPP->Interface->Secrets

/ppp secret
add name=user1 password=user1 service=pptp profile=VPN-Server

Настройка находится IP->Firewall

/ip firewall filter
add action=accept chain=input comment="Port Access" dst-port=1723 \
in-interface-list=WAN-Interface-List protocol=tcp

Настройка интернета для VPN клиентов PPTP в MikroTik

Этот вопрос будет вынесен за рамки данной статьи, т.к. относится с дополнительным сервисам для VPN клиентов. Таких сервисов может быть множество и все они имеют индивидуальных характер(для тех кто ищет: нужно настроить и разрешить DNS запросы и Masquerade).

В этой настройке будут участвовать два роутера MikroTik, один в качества сервера, другой в качестве клиента

На этапе создание такого подключения стоит обратить внимание на модель MikroTik, т.к. от неё зависит количество VPN подключений, а также возможность обрабатывать такие потоки данных

Для консультации по этому вопросу обращайтесь в Настройка-Микротик.укр через контактную форму.

Для объединения двух офисов и работы маршрутизации данную настройку лучше разбить на два блока:

  1. Настройка клиент-серверной части;
  2. Добавление статических маршрутов для прохождения трафика.

Серверная часть была описана ваше, но требует корректировки в виде статических адресов для VPN клиента

Настройка находится PPP->Interface->Secrets

/ppp secret
add local-address=192.168.10.1 name=user2 password=user2 profile=VPN-Server \
remote-address=192.168.10.2

а клиентская часть состоит из настройки PPTP клиента.

Настройка находится PPP->Interface->+PPTP Client

/interface pptp-client
add connect-to=90.200.100.99 disabled=no name=\
pptp-out1 password=user2 user=user2

Это правило укажет роутеру MikroTik куда направлять трафик.

Настройка находится IP->Routes

/ip route
add distance=1 dst-address=192.168.88.0/24 gateway=192.168.10.2

где

  • 192.168.88.0/24 – сеть за 2-ым MikroTik-ом, который выступает в роли ppptp клиента;
  • 192.168.10.2 – IP адрес 2-ого MikroTik-а.

Настройка находится IP->Routes

/ip route
add distance=1 dst-address=192.168.0.0/24 gateway=192.168.10.1

где

  • 192.168.5.0/24 – сеть 1-ого MikroTik-ом, который выступает в роли ppptp сервера;
  • 192.168.10.1 – IP адрес 1-ого MikroTik-а.

Создание VPN подключения PPTP Windows

ОС семейства Windows имеют штатный VPN клиент, который отлично подходит под эту роль. Для его настройки нужно перейти

Панель управления\Сеть и Интернет\Центр управления сетями и общим доступом

В Vista и Win2k8 список опознавательных протоколов PPP заметно сокращен.
Исключены SPAP, EAP-MD5-CHAP и MS-CHAP, которые давно признаны небезопасными (в
них используются алгоритмы хеширования MD4 и шифрования DES). Список доступных
протоколов теперь выглядит так: PAP, CHAP, MSCHAP-v2 и EAP-TLS (требует наличия
пользовательских сертификатов или смарт-карт). Настоятельно рекомендуется
использовать MSCHAP-v2, поскольку он надежнее и обеспечивает взаимную
аутентификацию клиента и сервера. Также посредством групповой политики предпиши
обязательное применение сильных паролей.

Для шифрования VPN-соединения при помощи MPPE используются 40, 56 и
128-битные RSA RC4 ключи. В первых версиях Windows из-за ограничений на экспорт
военных технологий был доступен только 40-битный ключ и с некоторыми оговорками
– 56-битный. Они уже давно признаны недостаточными, и, начиная с Vista,
поддерживается исключительно 128-битная длина ключа. Может возникнуть ситуация,
что у клиента поддержки такой возможности нет, поэтому для старых версий Windows
надо накатить все сервис-паки или обновления безопасности. Например, WinXP SP2
без проблем подключится к серверу Win2k8.

Чтобы самостоятельно просмотреть список поддерживаемых системой алгоритмов и
длин ключей, обратись к ветке реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL.
В частности, настройки алгоритмов шифрования находятся в ветке Ciphers\RC4.
Принудительно активировать нужную опцию можно, создав параметр dword “Enabled” и
установив его значение в “ffffffff”. Есть и другой способ, который Microsoft не
рекомендует, – активировать поддержку 40/56-битных RC4 ключей на сервере Win2k8.
Для этого необходимо установить в “1” параметр реестра HKLM\System\CurrentControlSet\Services\Rasman\Parameters\AllowPPTPWeakCrypto
и перезапустить систему.

Ищете надёжный VPN-Сервис?

Тогда у нас для вас есть отличное предложение. CactusVPN предлагает высококачественные VPN-услуги, среди которых шифрование на военном уровне, круглосуточная поддержку, функция Kill Switch, более 30 высокоскоростных серверов с неограниченной пропускной способностью, а также до шести VPN-протоколов на выбор. Более того, мы не записываем ваши данные, и наш Сервис работает на нескольких платформах.

И если вы захотите попробовать другие способы разблокировки веб-сайтов, мы также предлагаем услугу Smart DNS, которая открывает доступ к более 300 сайтов. Кроме всего прочего, все наши VPN-серверы дополняются прокси-серверами.

8 495 980 24 00

Рекомендации.

1. По умолчанию, Логин admin, пароль admin. 2. Курьеры-настройщики должны в настройках изменять пароль на Серийный номер, указанный на коробке (S/N). При перенастройке рекомендуется также использовать в качестве пароля на роутер и wi-fi S/N (серийный номер). 3. Сброс настроек роутера производится путем нажатия и удержания кнопки Reset на задней панели роутера в течении 10 секунд.

Авторизация.

Для того, что бы попасть в веб-интерфейс роутера, необходимо открыть ваш Интернет браузер и в строке адреса набрать http://192.168.0.1, User Name admin , Password – admin (при условии, что роутер имеет заводские настройки, и его IP не менялся).

Смена заводского пароля.

  • В целях безопасности рекомендуется сменить заводской пароль.
  • По умолчанию: Логин admin, пароль admin.
  • В интерфейсе роутера необходимо зайти во вкладку Системные инструменты, и выбрать Пароль.
  • В поле Предыдущее имя пользователя введите admin, Предыдущий пароль введите admin.
  • В поля Новое имя пользователя, Новый пароль, Подтвердите пароль введите новый логин (можно оставить прежний «аdmin»), а также новый пароль, и повтор пароля.
  • Затем нажмите кнопку «Сохранить».

Настройка Wi-Fi на роутере.

В интерфейсе маршрутизатора необходимо выбрать вкладку слева «Беспроводной режим», в открывшемся списке выбираем «Настройки беспроводного режима».

Выставляем параметры следующим образом:

1. Поле «Имя сети»: вводим название беспроводной сети; 2. Регион: Россия; 3. Канал: Авто; 4. Режим: 11bgn смешанный; 5. Ширина канала: Авто; 6. Ставим галки: «Включить беспроводное вещание роутера» и «Включить широковещание SSID». 7. Нажимаем ниже кнопку «Сохранить».

Слева в меню выбираем «Беспроводной режим», далее «Защита беспроводного режима» и выставляем параметры:

1. Устанавливаем точку на WPA-Personal/WPA2-Personal; 2. Версия: WPA2-Personal; 3. Шифрование: Автоматическая; 4. Пароль PSK: здесь необходимо ввести любой набор цифр, длиной от 8 до 63. Их также необходимо запомнить, чтобы Вы могли указать их при подключении к сети. Рекомендуется использовать в качестве ключа серийный номер устройства (указан на коробке, в виде S/N########). 5. Нажимаем ниже кнопку «Сохранить».

Настройка подключения к Интернет.

Настройка PPPoE подключения.

  • Слева выбираем меню Сеть, далее WAN;
  • Тип WAN соединения: PPPoE / Россия PPPoE;
  • В строку «Имя пользователя»: Необходимо ввести Ваш логин из договора;
  • В строки «Пароль» и «Подтвердите пароль»: Необходимо ввести Ваш пароль из договора;
  • Вторичное подключение: Отключить;
  • Режим WAN подключения: Подключить автоматически;
  • Нажимаем кнопку «Сохранить».

NAT при автоматическом получении IP адреса (DHCP).

  • Слева выбираем меню Сеть, далее WAN;
  • Тип WAN соединения: Динамический IP-адрес;
  • Убираем галку: Использовать эти DNS-серверы;
  • Нажимаем кнопку «Сохранить».

Для того чтобы ваш маршрутизатор получил IP, вам необходимо клонировать MAC адрес устройства, закрепленного за вашим договором. Чтобы его узнать, необходимо обратиться в техническую поддержку по номеру 8 (495) 980 24 00.

Для того, чтобы клонировать MAC адрес, необходимо:

  • Открыть вкладку «Клонирование MAC-адреса»;
  • Нажать кнопку «Клонировать MAC-адрес»;
  • Нажать кнопку «Сохранить».

NAT при статическом IP адресе (без DHCP).

  • Слева выбираем меню Сеть, далее WAN;
  • Тип WAN соединения: Динамический IP-адрес;
  • Заполните поля: IP адрес, маска подсети, основной шлюз, Первичный DNS, Вторичный DNS (эти данные закреплены за вашим договором).
  • Нажимаем кнопку «Сохранить».

Для того, чтобы клонировать MAC адрес, необходимо:

  • Открыть вкладку «Клонирование MAC-адреса»;
  • Нажать кнопку «Клонировать MAC-адрес»;
  • Нажать кнопку «Сохранить».

Компания Нетбайнет является дочерней организацией оператора связи ПАО “Мегафон” и относится к лидерам данной сферы услуг с клиентской базой свыше миллиона человек. Netbynet позволяет подключать выгодные тарифы не только для физических, но и для юридических лиц. К тому же вы можете использовать интернет-соединение для подключения интернета в частном секторе — у Нетбайнет для этих случаев есть специальные тарифы.

VPN-туннель IPSec

Некоторые модели от Zyxel Keenetic поддерживают создание защищенного канала связи через протокол IPsec. Как и в ситуации, описанной выше, его необходимо предварительно проинсталлировать на оборудовании. Заходим через веб-панель в «Систему», далее — «Обновление»:

Выбираем опцию «Показать компоненты». Отмечаем пункт IPsec, как показано на скриншоте ниже:

ОС предложит установить его в функционал, соглашаемся. После окончания процесса инсталляции оборудование перезагрузится. Затем открываем раздел «Интернет», вкладку PPPoE/VPN. Создаем новое соединение, проводим следующие настройки:

  1. Активируем сам протокол шифрования.
  2. Со второго пункта снимаем галочку, так как данное соединение не будет использоваться для прямого доступа в интернет.
  3. Поле «Описание» заполняем произвольным именем, оно необходимо только для идентификации процесса по названию.
  4. Тип протокола оставляем, как есть.
  5. В следующем разделе указываем интернет-соединение, используемое роутером для доступа к «мировой паутине».
  6. Прописываем имя «юзера» и пароль для него.
  7. Секретный ключ придумываем самостоятельно. Например, Test.
  8. Метод проверки подлинности оставляем, как показано на скриншоте.
  9. Адрес сервера составляется Zyxel автоматически. Как правило, используется наименование сервиса. Например, msk.test.ru.
  10. Сетевые настройки (IP-адрес и DNS-серверы) оставляем в автоматическом режиме.
  11. Отмечаем галочкой последний пункт.

Завершаем процесс создания нажатием кнопки «Применить». Теперь соединение появится в перечне доступных подключений. Оно используется для создания защищенного канала связи по протоколу IPsec. Android или iOS-совместимые мобильные устройства работают по данной технологии.

VPN через PPtP на MikroTik

PPtP – самый распространенный протокол VPN. Представляет собой связку протокола TCP, который используется для передачи данных, и GRE – для инкапсуляции пакетов. Чаще всего применяется для удаленного доступа пользователей к корпоративной сети. В принципе, может использоваться для многих задач VPN, однако следует учитывать его изъяны в безопасности.

Прост в настройке. Для организации туннеля требуется:

  • создать на роутере MikroTik, через который пользователи будут подключаться к корпоративной сети, PPtP-сервер,
  • создать профили пользователей с логинами/паролями для идентификации на стороне сервера,
  • создать правила-исключения Firewall маршрутизатора, для того, чтобы подключения беспрепятственно проходили через брандмауер.

Включаем PPtP сервер.

Для этого идем в раздел меню PPP, заходим на вкладку Interface, вверху в перечне вкладок находим PPTP сервер и ставим галочку в пункте Enabled.

Снимаем галочки с наименее безопасных алгоритмов идентификации – pap и chap.

Создаем пользователей.

В разделе PPP переходим в меню Secrets и с помощью кнопки “+” добавляем нового пользователя.

В полях Name и Password прописываем, соответственно логин и пароль, который будет использовать пользователь для подключения к туннелю.

В поле Service выбираем тип нашего протокола – pptp,

в поле Local Address пишем IP-адрес роутера MikroTik, который будет выступать в роли VPN-сервера,

а в поле Remote Address – IP-адрес пользователя   

Прописываем правила для Firewall. 

Нам нужно открыть 1723 порт для трафика по TCP-протоколу для работы VPN-туннеля MikroTik, а также разрешить протокол GRE.

Для этого идем в раздел IP, потом – в Firewall, потом на вкладку Filter Rules, где с помощью кнопки “+” добавляем новое правило.

В поле Chain указываем входящий трафик – input, в поле Protocol выбираем протокол tcp, а в поле Dst. Port – указываем порт для VPN туннеля 1723.

Переходим здесь же на вкладку Action и выбираем accept – разрешать (трафик).

Точно также добавляем правило для GRE.

На вкладке General аналогично предыдущему прописываем input, а в поле Protocol выбираем gre.

На вкладке Action как и в предыдущем правиле выбираем accept.

Не забываем поднять эти правила в общем списке наверх, поставив ПЕРЕД запрещающими правилами, иначе они не будут работать. В RouterOS Mikrotik это можно сделать перетаскиванием правил в окне FireWall.

Все, PPtP сервер для VPN на MikroTik поднят.  

Небольшое уточнение.

В некоторых случаях, когда при подключении необходимо видеть локальную сеть за маршрутизатором, нужно включить proxy-arp в настройках локальной сети.

Для этого идем в раздел интерфейсов (Interface), находим интерфейс, соответствующий локальной сети и на вкладке General в поле ARP выбираем proxy-arp.

Если вы подняли VPN между двумя роутерами MikroTik и вам необходимо разрешить передачу broadcast, надо добавить существующий профиль подключения (PPP – Profiles) удаленного роутера в бридж главного:

Если вам дополнительно нужно получить доступ к расшаренным папкам на компьютерах локальной сети, понадобится также открыть порт 445 для проходящего трафика SMB-протокола, который отвечает за Windows Shared. (Правило forward в брандмауере).

Для жителей домов, подключенных к провайдеру через коаксиальный кабель, доступ в Интернет возможен только при использовании кабельного модема. Интернет-провайдер Акадо рекомендует устройства следующих торговых марок для работы в сети по технологии DOCSIS:

  • Technicolor;
  • HUMAX;
  • Motorola;
  • UPVEL;
  • Webstar;
  • SAGEM.

Работа кабельного модема заключается в преобразовании аналоговых сигналов в цифровые. Преобразованные данные отправляются через сетевой порт, в который подключен компьютер или WiFi роутер. Подключите коаксиальный кабель, проведённый в дом или квартиру, в соответствующий разъём на кабельном модеме. В Ethernet-порт вставьте кабель от WiFi маршрутизатора или компьютера. Включите устройство в электрическую сеть и дождитесь его загрузки. После этого перейдите к настройке конечного оборудования.

Почему ASUSCOMM.COM не работает? Недопустимый IP адрес и Несанкционированный запрос на регистрацию

Регистрация в DDNS имеет смысл только в том случае, если у вас внешний белый IP адрес от провайдера — без разницы, статический или динамический. Подробнее про то, как это узнать, я написал в другом посте — прочитайте, если не знаете, что это такое.

В ином случае будут появляться ошибки типа «Недопустимый IP адрес» или «Несанкционированный запрос на регистрацию». Если у вас серый внешний айпишник, то сервис DDNS от Asus функционировать не будет.

Если же asuscomm.com не работает после перезагрузки, это означает, что когда роутер подключился к интернету, то у него поменялся серый айпишник на другой, и все настройки сбились.

IP адресация

Для работы по сети любому устройству требуется IP-адрес. В протоколе IPv4 это числовой идентификатор, состоящий из 4 разрядов, каждый из которых отделяется точкой, без него устройство не может быть определено в сетевой инфраструктуре. Зачастую маршрутизатор имеет IP-адрес 192.168.1.1, а подключённое к нему устройство, например, 192.168.1.2.

Клиенту должна быть присвоена определённая маска подсети, например, 255.255.255.0. Она позволяет определить к какой сети относится данный клиент.

Для связи между интернетом и сетью в любой сети должен быть определён IP-адрес основного шлюза. В роли шлюза выступает маршрутизатор, который предоставляет доступ в сеть всем устройствам в своей сети.

Теперь рассмотрим детальнее базовые принципы функционирования PPTP и связи, построенной на этом протоколе. Контакт между точками основан на PPP-сессии, базирующейся на GRE (Generic Routing Encapsulation). Второе подключение порта TCP ответственно за контроль и инициацию GRE. Пакет IPX, что передаётся от одной точки к другой, именуют полезной нагрузкой, он также дополнен управляющей информацией. Так, при доставке данных на стороне получателя программным способом IPX-содержимое извлекается и отправляется на обработку, выполняемую с помощью интегрированных средств системы в соответствии с указанным протоколом.

Взломать данные возможно именно в процессе их получения, в процессе передачи безопасность обеспечена за счёт туннеля. Для защиты при отправке и приёме информации настройка PPTP предполагает обязательное использование логина и пароля. Чтобы настроить лучшую защиту, необходимо использовать идентификацию со сложной символьной комбинацией. Конечно, это не убережёт гарантированно передаваемые данные, но значительно усложнит их взлом.

Всё это относилось к настройкам внешнего IP, но что делать, если у пользователя стоит задача обеспечить доступом в интернет несколько устройств? В этом случае нужно использовать маршрутизатор, для настройки которого пригодится умение работать с DHCP.

В зависимости от того, какой тип подключения используется, с выделенным или динамическим IP, так же как и в случае с настройкой подключения в операционной системе, роутер получит либо динамический (DHCP), либо статический IP.

Но это ещё не всё, ведь для каждого устройства, подключённого к сети, требуется собственный адрес, уникальный только в рамках данной сети, чтобы роутер мог «понимать», как ему общаться с тем или иным устройством. Внешний адрес, уникальный в глобальной сети, у всех устройств будет точно такой же, как и у маршрутизатора, а вот с внутренними нужно будет разобраться непосредственно пользователю.

Сам роутер имеет статический внутренний IP, обычно это 192.168.1.1 или 192.168.0.1. На всех роутерах DHCP сервер активирован по умолчанию. Это сделано для того, чтобы можно было подключиться к маршрутизатору с любого устройства, роутер сам определит, какой ему присвоить адрес и даст доступ во внутреннюю сеть. Такой способ подключения клиентов очень удобен, ведь в этом случае не нужно проводить предварительную настройку каждого устройства и присваивать каждому уникальный внутренний адрес. Все новые устройства без проблем получат адреса и доступ в сеть.

Итак, всё же как включить DHCP на роутере? Если вкратце, то нужно сначала активировать работу сервера, настроить пул (диапазон адресов, которые выдаются роутером автоматически) задав начальный и конечный IP и время его аренды.

Asus

Настройка роутера этой фирмы происходит следующим образом. В левом краю web-панели есть пункт “Локальная сеть”, нажав на него, нужно выбрать вкладку DHCP-сервер. На открывшейся странице нужно отметить пункт “Да” в графе “Включить DHCP-сервер”.

Здесь можно настроить пул выдаваемых автоматически адресов и время аренды.

D-Link

Настраивать роутеры D-Link чуть сложнее, поскольку у них сильно разнятся варианты исполнения интерфейса. Но обычно пункт настройки DHCP вынесен непосредственно в основное меню на главной странице.

Здесь всё те же настройки, только выглядят несколько иначе.

TP-LINK

Параметры DHCP на устройствах TP-LINK доступны практически с главной страницы интерфейса.

В левом краю есть стэк “DHCP”. Развернув его, можно увидеть ещё три пункта, в которых можно настроить, посмотреть список клиентов и зарезервировать адреса для определённых клиентов. Для настройки нужно выбрать пункт “Настройка DHCP”. Далее нужно активировать сервер и произвести его настройку, задав интервал и время аренды.

Zyxel keenetic

Для настройки роутеров Zyxel нужно зайти в панель Администратора, затем в настройки домашней сети.

Там выбрать вкладку “Параметры IP” и поставить галочку “Включён” в пункте “Сервер DHCP”.

Netis

Настройки роутеров Netis несколько более скудные, здесь можно включить и отключить DHCP на маршрутизаторе и задать диапазон выдаваемых IP.

Попасть в эти настройки можно из стэка “Сеть”, пункт “LAN”.

Upvel

В левом стеке есть пункт “Основные настройки”, там “Интерфейс LAN”, в нём на выбор можно включить DHCP или DHCP Relay (ретранслятор в другие подсети).

Здесь можно установить диапазон адресов, срок аренды и редактировать список зарезервированных клиентов, добавлять и удалять их.

Мне нравитсяНе нравится

Подключение к сети так же настраиваем в разделе Network
—> WAN
, только в этом случае тип подключения
(WAN Connection Type
) выбираем L2TP/RussiaL2TP
. Ситуация с L2TP
интереснее чем простой Dynamic
IP
. Итак, наш гость — Протокол туннелирования 2 уровня
(L
ayer 2
T
unnel P
rotocol) позволяет создать виртуальную частную сеть
(V
irtual P
rivate N
etwork) внутри сети Интернет.

В поле имя позьзователя
(User Name
) записываем № из договора с провайдером начинающийся на 0895
.

Пароль
помещаем в Password
. Должен быть в договоре, может например совпадать с №.

Также нам потребуется ввести адрес VPN сервера
(Server IP Address/Name
), он tp.internet.beeline.ru

Остальные сетевые настройки роутер получит автоматически благодаря протоколу динамической настройки узла
(D
ynamic H
ost C
onfiguration P
rotocol) назначающему IP адрес
, шлюз
(Gateway), сервер доменных имен
(DNS).

Жмём Save
и погружаемся в интернет, если он оплачен конечно)

При условии, что мы всё таки подключим интернет кабель, приходящий в квартиру, в (WAN
) гнездо роутера!

При использовании DHCP могут возникать некоторые проблемы с доступом в интернет:

  • Дублирование IP. Когда в пределах одной сети у двух и более устройств прописан один и тот же адрес, то возникнет ошибка «Address Already in Use», что означает, что данный адрес уже используется. В этом случае нужно проверить настройки IP на всех компьютерах и изменить совпадающие. Это может быть из-за того, что на роутере установлена раздача адресов по DHCP или присвоены статические адреса некоторым устройствам, и из-за того, что неправильно задан диапазон IP, раздаваемых динамически, DHCP сервер пытается присвоить уже используемый адрес. Для решения этой проблемы можно посмотреть список клиентов DHCP и передвинуть диапазон динамических адресов далее;
  • Исчерпание IP. Это означает, что пул адресов, доступных для динамической раздачи, исчерпан и его нужно расширить, чтобы новые устройства могли получать адреса.
  • Неправильная настройка DHCP и клиента. В случае, если изменить на самом клиенте присвоенные ему автоматические настройки, то доступа в сеть не будет. Присваивать адреса клиентам нужно на роутере, и уже после и на клиенте.


FS ОТВЕТ о COVID-19

Настройка VPN-сервера PPPoE MikroTik

Настраиваем профили сервера.

Несколько профилей PPPoE-сервера могут понадобиться, если вы провайдер и раздаете интернет по нескольким тарифным пакетам.

Соответственно, в каждом профиле можно настроить разные ограничения по скорости.

Идем в раздел PPP, открываем пункт Profiles  и с помощью кнопки “+” создаем новый профиль.

Даем ему понятное нам название, прописываем локальный адрес сервера (роутера), отмечаем опцию Change TCP MSS (корректировку MSS), для того, чтобы все сайты нормально открывались.

Кстати, в некоторых случаях, когда возникают проблемы с открытием некоторых сайтов, при том, что пинги на них проходят, можно сделать по-другому. Корректировку MSS отключаем, а через терминал прописываем на роутере следующее правило:

“ip firewall mangle add chain=forward protocol=tcp tcp-flags=syn tcp-mss=1453-65535 action=change-mss new-mss=1360  disabled=no”.

В большинстве случаев это решает проблему.

Далее на вкладке Protocols все отключаем, для улучшения производительности.

Если защищенность соединения для вас важна и производительность маршрутизатора позволяет, то опцию Use Encryption (использовать шифрование) не отключайте.

На вкладке Limits устанавливаем ограничения по скорости, если нужно.

Первая цифра в ограничении скорости  – входящий трафик на сервер (исходящий от абонента), вторая – наш исходящий трафик (входящий у абонента).

Ставим Yes в пункте Only One, это значит, что два и более абонентов с одним и тем же набором логин/пароль не смогут подключиться к  PPPoE-серверу, только один.

Теперь, если необходимо, создаем остальные профили простым копированием (кнопка Copy на предыдущем скриншоте) и меняем имя и ограничение по скорости.

Создаем учетные записи пользователей.

В том же разделе PPP находим пункт меню Secrets.

В нем с помощью кнопки “+” создаем нового пользователя, который будет подключаться к нам по VPN-туннелю.

Заполняем поля Name и Password (логин и пароль, который будет вводить пользователь со своей стороны, чтобы подключиться).

В поле Service выбираем pppoe, в Profile – соответствующий профиль, в данном случае – тарифный пакет, которым пользуется абонент.

Присваиваем пользователю IP-адрес, который при подключении сервер раздаст абоненту.

Если подключаем несколько пользователей, создаем для каждого из них отдельную учетную запись, меняя имя/пароль и IP-адрес.

Привязываем PPPoE сервер к определенному интерфейсу MikroTik.

Теперь нам необходимо сообщить маршрутизатору, на каком интерфейсе он должен “слушать” входящие подключения от VPN PPPoE клиентов.

Для этого в разделе PPP мы выбираем пункт PPPoE Servers.

Здесь мы меняем:

  • Поле Interface – выбираем тот интерфейс, к которому будут подключаться клиенты,
  • Keepalive Timeout – 30 секунд (время ожидания ответа от клиента до разрыва соединения)
  • Default Profile – профиль, который будет присваиваться подключаемым абонентам по умолчанию,
  • Ставим галку в One Session Per Host, тем самым разрешая подключение только одного туннеля с маршрутизатора клиента или компьютера.
  • Галочки в разделе аутентификации оставляем/снимаем по усмотрению.    

Настраиваем NAT для доступа клиентов в интернет.

Мы подняли PPPoE сервер и теперь к нему могут подключаться авторизованные пользователи.

Если нам нужно, чтобы подсоединившиеся по VPN туннелю пользователи имели доступ в интернет, нужно настроить NAT (маскарадинг), или преобразование локальных сетевых адресов.

В разделе IP выбираем пункт Firewall и с помощью кнопки “+” добавляем новое правило.

В поле Chain должно стоять srcnat, что означает, что маршрутизатор будет применять это правило к трафику, направленному “изнутри наружу”.

В поле Src. Address (исходный адрес) прописываем диапазон адресов 10.1.0.0/16.

Это означает, что все клиенты с адресами 10.1. (0.0-255.255) будут выходить в сеть через NAT, т. е. мы перечисляем здесь всех возможных абонентов.

В поле Dst. Address (адрес назначения) указываем !10.0.0.0/8 – диапазон адресов, означающий собственное адресное пространство для частных сетей, с восклицательным знаком впереди.

Это указывает роутеру на исключение – если кто-то из локальной сети обращается на адрес в нашей же сети, то NAT не применяется, соединение происходит напрямую.

А на вкладке Action прописываем, собственно, действие маскарадинга – подмены локального адреса устройства на внешний адрес роутера.

VPN на MikroTik по протоколу PPTP: преимущества канала и регламент настройки сервера

Настройка PPTP (VPN) сервера на Mikrotik

Сначала опишу первый простой вариант настройки PPTP (VPN) сервера на Mikrotik через web-интерфейс или Winbox. В этом варианте к серверу может подключаться только один клиент.
1) Активируем сервер открыв меню «PPP» -> «PPTP Server» -> где поставим галочку «Enabled«.
2) Добавим параметры подключения к серверу, для этого откроем «PPP» -> «Secrets» и добавим:
Name: логин
Password: пароль
Service: pptp
Local Address: внутренний IP роутера, например 192.168.88.1
Remote Address: IP который будет назначен клиенту, например 192.168.88.2
жмем OK.
3) Добавим правило в фаервол чтобы можно было подключатся к серверу из вне, для этого откроем меню «IP» -> «Firewall» и во вкладке «Filter Rules» добавим правило:
Chain: input
Dst. Address: внешний IP роутера
Protocol: tcp
Dst. Port: 1723
In. Interface: WAN порт роутера, например ether1-gateway
Action: accept
жмем OK, на этом простая настройки завершена.

Теперь опишу вариант настройки из командной строки. К серверу может подключатся много клиентов и они будут получать IP по DHCP.

Включение pptp сервера:

Просмотр параметров pptp сервера:

Добавление интерфейса pptp сервера:

Установка пула адресов которые будут выдаваться подключившимся пользователям:

Добавление профиля для pptp сервера:

Добавление данных для аутентификации:

Также необходимо разрешить трафик по протоколу TCP на порт 1723 из вне и разрешить протокол GRE.
Для этого добавляем первое правило, chain = input, protocol = tcp, Dst.Port = 1723, action = accept.
И второе, chain = input, protocol = gre, action = accept.
Эти два правила необходимо разметить перед стандартными запрещающими правилами, иначе они не будут работать.

В параметрах созданного VPN соединения в Windows необходимо выбрать тип PPTP и шифрование «необязательно, подключатся даже без шифрования».

Немного полезной информации:
PAP (Password Authentication Protocol) — протокол проверки подлинности, проверяет имя и пароль.
CHAP (Challenge Handshake Authentication Protocol) — широко распространённый протокол, в котором серверу передается не пароль пользователя, а косвенные сведения о нём.
MS-CHAP (Microsoft Challenge Handshake Authentication Protocol) — протокол от Microsoft для проверки подлинности удалённых компьютеров.

ИТ База знаний

ShareIT – поделись знаниями!

Узнать IP – адрес компьютера в интернете

Онлайн генератор устойчивых паролей

Онлайн калькулятор подсетей

Калькулятор инсталляции IP – АТС Asterisk

Руководство администратора FreePBX на русском языке

Руководство администратора Cisco UCM/CME на русском языке

Серверные решения

FreePBX и Asterisk

Настройка программных телефонов

Корпоративные сети

Популярное и похожее

Мониторим MikroTik с помощью Zabbix по SNMP

Высокая загрузка процессора Mikrotik. Что делать?

Настройка SNMP на маршрутизаторах Mikrotik

Mikrotik: обновление через консоль

Настройка PPTP клиента на Mikrotik

2 минуты чтения

В сегодняшней статье мы покажем, как настроить PPTP клиент на роутерах Mikrotik. Мы будем проводить все настройки на модели RB951Ui-2HnD, но написанное в этой статье будет актуально для любой модели Mikrotik, поддерживающей PPP.

Протокол PPTP

Для начала немного теории. PPTP (Point To Point Tunnel Protocol) это протокол, который позволяет создать незашифрованный туннель через публичную сеть Интернет. Для шифрования данного туннеля вместе с PPTP обычно применяется протокол Microsoft Point-to-Point Encryption (MPPE). PPTP поддерживает различные методы аутентификации, которые включены в PPP, такие как: pap, chap, mschap2, mschap1. Для использования PPTP зарезервирован порт 1723 и протокол GRE для энкапсуляции фреймов.

Основные задачи, которые решает PPTP:

  • Безопасное соединение роутеров через Интернет по защищенному туннелю
  • Подключение удаленных пользователей для доступа к ресурсам локальной сети
  • Соединение распределенных локальных сетей через Интернет
Настройка PPTP клиента

Для того, чтобы настроить PPTP клиент на роутерах Mikrotik при помощи приложения WinBox, нужно открыть раздел PPPInterface+ и выбрать PPTP Client, как показано ниже:

Откроется окно добавления нового интерфейса. На вкладке General можно оставить всё по умолчанию.

Переходим на вкладку Dial Out и выполняем следующие настройки:

  • Connect To – Сюда вписываем адрес или ddns сервера PPTP/ VPN (Например – OpenVPN).
  • User – Логин для подключения к серверу PPTP/VPN
  • Password – Пароль для подключения к серверу PPTP/VPN

На самом базовом уровне этих данных вполне достаточно.

Осталось только добавить несколько правил, которые разрешат использование PPTP.

Для этого открываем раздел IP> → FirewallNAT и нажимаем +. Перед нами открывается страница добавления нового правила, заполняем её следующим образом:

Здесь Out Interface – интерфейс для PPTP клиента, который мы создавали ранее.

Полезна ли Вам эта статья?

Пожалуйста, расскажите почему?

Нам жаль, что статья не была полезна для вас 🙁 Пожалуйста, если не затруднит, укажите по какой причине? Мы будем очень благодарны за подробный ответ. Спасибо, что помогаете нам стать лучше!

Подпишитесь на нашу еженедельную рассылку, и мы будем присылать самые интересные публикации 🙂 Просто оставьте свои данные в форме ниже.

backnet – ответы на простые вопросы и не очень

Настройка PPTP сервера на Mikrotik

Как настроить PPTP сервер на Mikrotik с авторизацией?

Сразу оговорюсь, что PPTP считается не самым безопасным протоколом для VPN.

Задача: пустить сотрудника из дома по RDP к его рабочему ПК.

1. Заходим и кликаем PPPPPTP Server


2. Включаем сервер и убираем лишние (не шибко защищенные протоколы и оставляем только один)


3. Добавляем наших юзверей, заходим в Secrets и кликаем плюсик


4. Добавляем логин, пароль, в поле Serivice выбираем pptp. В поле locale address пишем адреса нашего микротика (pptp сервера), в remote address ручками пишем адрес который получит клиент pptp т.е. наш сотрудник (адреса можно назначать через dhcp, но у меня всего 5 человек и я адреса назначаю в ручную)

5. После этого настраиваем два правила фаервола для tcp/1723 и gre.
Вкладка general
chai: input
Dst. address: ставим айпи адрес нашего интерфейса на котором сервер будет принимать соединения
Protocol: tcp
Dst port: 1723
In interface: нужный ван порт
Вкладка Action
Action: accept

Для gre все точно так же, только Protocol: gre




Не забываем эти правила поставить выше запрещающих правил.

После манипуляций выше, подключение должно проходить и все должно быть хорошо, но!

Нам еще нужно чтобы удаленный клиент видел локальную сеть за микротиком, для этого в настройках локальной сети нужно поставить ARP в положение proxy-arp.

Для этого, шагаем в пункт Interface, ищем наш локальный интерфейс (у меня это мастер порт, т.к. вся маршрутизация идет не через бридж, а через мастер порт). И в нем выставляем в пункте arp: proxy-arp.

После этих манипуляций внешний клиент должен спокойно видеть локальную сеть за роутером.

Настраиваем сеть VPN на роутерах Mikrotik

VPN-туннель Mikrotik является наиболее популярным типом связи, в основе которого лежит обычное интернет-соединение с помощью роутеров. В общих чертах подобные туннели представляют собой выделенную линию связи внутри основного соединения.

Необходимость установки такого соединения на роутерах MikroTik с последующей настройкой может возникнуть в нескольких случаях:

  • Предоставления доступа к корпоративной сети одной организации сотрудникам, работающим удаленно или часто находящимся в командировках;
  • Предоставления бесперебойного доступа в сеть абонентам того или иного провайдера;
  • Соединение между собой посредством сети нескольких удаленных подразделений организации с минимальными затратами.

Основным преимуществом VPN-соединения является защита передаваемых данных, в то время как при использовании обычной сети обмен информацией происходит по открытым каналам в незашифрованном виде. Уровень защиты передаваемой информации будет напрямую зависеть от вида протокола, используемого при настройке сети. Например, наименее безопасным является протокол PPtP, а самым безопасным называют IPsec.

Варианты протоколов соединений на роутерах MikroTik

В процессе настройки сетевого подключения через роутер MikroTik обычно используются следующие виды шифрования данных:

Наиболее популярными протоколами являются PPtP и PPPoE. Однако стоит помнить, что уровень безопасности передаваемой информации в этих протоколах минимальный. Если вы собираетесь настроить подключение между двумя и более подразделениями, объединенными в корпоративную сеть, то лучше использовать протоколы OpenVPN на MikroTik, L2TP или IPSec. Уровень безопасности при передаче данных по этим протоколам намного выше.

Настройка VPN-соединения с помощью PPtP

Пошагово распишем настройку подключения к корпоративным сетям на примере наиболее известного протокола PPtP. Данный протокол объединяет в себе два других – TCP и GRE, первый из которых позволяет передавать данные, а второй используется для формирования пакетов (или инкапсуляции) для передачи по каналам связи. Данный протокол нашел свое применение в подключении пользователей к корпоративной сети, однако стоит помнить, что применение этого протокола не гарантирует полной безопасности передаваемой информации.

Настройка VPN через MikroTik с использованием протокола PPtP довольна проста. Для этого потребуется выполнить несколько действий:

  • Создать VPN сервер на MikroTik роутере, который позволит участникам беспрепятственно пользоваться сетью;
  • Завести для всех пользователей отдельный профиль с индивидуальными идентификаторами для быстрого самоопределения на сервере;
  • Прописать исключающие правила для Firewall, которые позволят беспрепятственно работать и передавать данные.

Для создания PPtP-сервера необходимо обратиться в меню PPP, после чего перейти на вкладку Interface. В предложенном списке необходимо поставить галочку напротив PPtP-сервера, а также снять отметки с алгоритмов pap и chap – как показано на рисунке.

Для создания профилей участников сети в этом же разделе меню необходимо кликнуть по вкладке Secrets, где нажатием кнопки «+» добавляется требуемое количество клиентов сети.

В соответствующих строках Name и Password прописываются уникальные логин и пароль, с помощью которых будет проходить процедура идентификации пользователя на сервере.

В строке Service необходимо указать тип протокола передачи данных (в нашем случае это PPtP), в строке Local Address прописывается IP-адрес вашего роутера, используемого как сервер, в строке Remote Address указывается IP-адрес данного пользователя. Алгоритм действий повторяется для каждого участника сети. Стоит помнить, IP-адреса абсолютно для всех пользователей должны быть разными, как и логин с паролем.

Прописать исключающие правила для Firewall также не составит большого труда. Для этого необходимо сделать открытым 1723 порт, позволяющий передавать пакеты информации по TCP-протоколу, и разрешить работу по протоколу GRE. Эти действия обеспечат бесперебойную работу VPN-соединения на роутере MikroTik. Для этого во время настройки соединения необходимо последовательно перейти в подразделы меню IP и Firewall, после чего выбрать вкладку Filter Rules. Здесь простым нажатием кнопки «добавить» (или «+») прописываются все правила-исключения. В строке Chain прописывается входящий трафик (input), в строке Protocol необходимо указать TCP, а в строке Dst. Port прописывается значение порта туннеля «1723».

Точно таким же способом добавляется исключающее правило для GRE с тем лишь отличием, что в строке Protocol прописывается значение «GRE». В обоих случаях необходимо указать пункт «accept» на вкладке Action .

Оба правила должны находиться в самом верху списка, раньше запрещающих, в противном случае они просто не будут работать. В настройках роутера Mikrotik это можно осуществить простым перетаскиванием необходимых правил в пункте меню FireWall.

Выполнив эти простые действия, вы сможете без труда подготовить к работе VPN-сервер для работы под протоколом PPtP.

С клиентской стороны настройка подключения осуществляется намного проще и включает в себя непосредственное создание VPN-подключения с указанием адреса сервера и идентификационных данных пользователя (логина и пароля).

Видео по теме

Настройка PPTP VPN сервера и клиента на Mikrotik

Данная статья будет первая из цикла, про настройку VPN сервера и клиента Mikrotik. В данном случае рассмотрим вариант с PPTP.

Для примера возьмём задачу — Объединить два офиса через интернет по средствам VPN.

1. Начнём с настройки первого роутера.

1.1. Создаём диапазон IP адресов
Во вкладке IP — Pool нажимаем «+»:
Name: pptp_pool
Address: 192.168.4.2-192.168.4.15

1.2. Создадим профиль для тунеля.
Во вкладке PPP — Profiles нажимаем «+»:
Name: pptp_profile
Local Address: 192.168.4.1
Remote Address: pptp_pool – то что сделали в пункте 1.1.
Change TCP MSS: yes

1.3. Включаем сервер PPTP.
Во вкладке PPP нажимаем кнопку PPTP Server. Ставим галку Enable.
Default Profile: pptp_profile
Authentication: mschap2 и mschap 1 — менее уязвимые протоколы аутентификации, но не обязательно.

1.4. Создаём пользователя.
Оставаясь в PPP, переходим во вкладку Secrets. Нажимаем «+» и вносим данные:
Name: tun1
Password: tun1
Service: pptp
Profile: pptp_profile
Local address и Remote address: эти поля не трогаем, т.к. мы настроили их в профиле

1.5. Добавляем правило в фаервол
Открываем IP — Firewall, во вкладке Filter Rules нажимаем «+». Во вкладке General:
C hain: input
Protocol: tcp
Dst.Port: 1723 (порт для PPTP)
Во вкладке Action:
Action: accept
Dst. Address List – INBOUND (это список внешни IP), если он один заполняем поле Dst. Address на вкладке general ВАЖНО! Если не указать адрес назначения или интерфейс — вы не сможете внешние pptp установить с ПК за роутером. Он будет всё заворачивать на себя.

ВНИМАНИЕ. После создания правила его нужно поднять выше запрещающих.

1.6 Естественно, если нам надо, что бы впн клиент ходил в интернет, через pptp сервер, на нём надо настроить NAT
IP — Firewall — NAT
Либо добавляем новое правило, либо модифицируем старое
src. address — 192.168.4.0/24
вкладка action — masqurade

2. Переходим к настройки второго роутера он же PPTP клиент.

2.1 Переходим в раздел Interfaces, нажимаем +, выбираем PPTP client

Во вкладке general указываем имя интерфейса

Во вкладке Dial Out:
Connection To: Тут указываем реальный IP адрес настроенный на первом роутере.
User: tun1 — тот которого мы завели на первом роутере.
Password — думаю и так понятно 🙂

2.2 Настройка маршрута
Нам нужно определить что мы завернём в тунель. Для примера возьмём сайт 2ip.ru, который имеет IP адрес 178.63.151.224.
Откроем вкладку IP — Routes и нажмём «+»:
Dst. Address (адрес назначения): 178.63.151.224
Gateway: 192.168.4.1

Второй вариант, вместо IP шлюза можно выбрать соединение.

VPN через PPPoE на MikroTik

О чём эта статья

Статья описывает настройку маршрутизаторов MikroTik с целью организации стабильного канала VPN к виртуальным машинам в сервисах MCS.

Своей распространенностью в последнее время VPN по протоколу PPPOE обязан провайдерам, предоставляющим широкополосный, в т. ч. беспроводной доступ в интернет. Протокол предполагает возможность сжатия данных, шифрования, а также характеризуется:

Доступностью и простотой настройки.

Поддержкой большинством маршрутизаторов MikroTik.

Устойчивостью зашифрованного трафика к ARP-спуфингу (сетевой атаке, использующей уязвимости протокола ARP).

Меньшей ресурсоемкостью и нагрузкой на сервер, чем PPtP.

Также его преимуществом является возможность использования динамических IP-адресов: не нужно назначать определенный IP конечным узлам VPN-туннеля. Подключение со стороны клиента осуществляется без сложных настроек, только по логину и паролю.

Настройка VPN-сервера PPPoE MikroTik

Настраиваем профили сервера

Несколько профилей PPPoE-сервера могут понадобиться, если вы провайдер и раздаете интернет по нескольким тарифным пакетам. Соответственно, в каждом профиле можно настроить разные ограничения по скорости.

Идем в раздел PPP, открываем пункт Profiles и с помощью кнопки «+» создаем новый профиль. Даем ему понятное нам название, прописываем локальный адрес сервера (роутера), отмечаем опцию Change TCP MSS (корректировку MSS), для того, чтобы все сайты нормально открывались.

Кстати, в некоторых случаях, когда возникают проблемы с открытием некоторых сайтов, при том, что пинги на них проходят, можно сделать по-другому. Корректировку MSS отключаем, а через терминал прописываем на роутере следующее правило:

В большинстве случаев это решает проблему.

Далее на вкладке Protocols все отключаем, для улучшения производительности. Если защищенность соединения для вас важна и производительность маршрутизатора позволяет, то опцию Use Encryption(использовать шифрование) не отключайте.

На вкладке Limits устанавливаем ограничения по скорости, если нужно. Первая цифра в ограничении скорости — входящий трафик на сервер (исходящий от абонента), вторая — наш исходящий трафик (входящий у абонента).

Ставим Yes в пункте Only One, это значит, что два и более абонентов с одним и тем же набором логин/пароль не смогут подключиться к PPPoE-серверу, только один.

Теперь, если необходимо, создаем остальные профили простым копированием (кнопка Copy на предыдущем скриншоте) и меняем имя и ограничение по скорости.

Создаем учетные записи пользователей

В том же разделе PPP находим пункт меню Secrets. В нем с помощью кнопки «+» создаем нового пользователя, который будет подключаться к нам по VPN-туннелю.

Заполняем поля Name и Password (логин и пароль, который будет вводить пользователь со своей стороны, чтобы подключиться).

В поле Service выбираем pppoe, в Profile — соответствующий профиль, в данном случае — тарифный пакет, которым пользуется абонент. Присваиваем пользователю IP-адрес, который при подключении сервер раздаст абоненту.

Если подключаем несколько пользователей, создаем для каждого из них отдельную учетную запись, меняя имя/пароль и IP-адрес.

Привязываем PPPoE сервер к определенному интерфейсу MikroTik

Теперь нам необходимо сообщить маршрутизатору, на каком интерфейсе он должен «слушать» входящие подключения от VPN PPPoE клиентов. Для этого в разделе PPP мы выбираем пункт PPPoE Servers. Здесь мы меняем:

Поле Interface — выбираем тот интерфейс, к которому будут подключаться клиенты,

Keepalive Timeout — 30 секунд (время ожидания ответа от клиента до разрыва соединения)

Default Profile — профиль, который будет присваиваться подключаемым абонентам по умолчанию,

Ставим галку в One Session Per Host, тем самым разрешая подключение только одного туннеля с маршрутизатора клиента или компьютера.

Галочки в разделе аутентификации оставляем/снимаем по усмотрению.

Настраиваем NAT для доступа клиентов в интернет.

Мы подняли PPPoE сервер и теперь к нему могут подключаться авторизованные пользователи. Если нам нужно, чтобы подсоединившиеся по VPN туннелю пользователи имели доступ в интернет, нужно настроить NAT (маскарадинг), или преобразование локальных сетевых адресов.

В разделе IP выбираем пункт Firewall и с помощью кнопки «+» добавляем новое правило.

В поле Chain должно стоять srcnat, что означает, что маршрутизатор будет применять это правило к трафику, направленному «изнутри наружу».

В поле Src. Address (исходный адрес) прописываем диапазон адресов 10.1.0.0/16. Это означает, что все клиенты с адресами 10.1. (0.0-255.255) будут выходить в сеть через NAT, т. е. мы перечисляем здесь всех возможных абонентов.

В поле Dst. Address (адрес назначения) указываем !10.0.0.0/8 — диапазон адресов, означающий собственное адресное пространство для частных сетей, с восклицательным знаком впереди. Это указывает роутеру на исключение — если кто-то из локальной сети обращается на адрес в нашей же сети, то NAT не применяется, соединение происходит напрямую.

А на вкладке Action прописываем, собственно, действие маскарадинга — подмены локального адреса устройства на внешний адрес роутера.

Настройка VPN-клиента PPPoE

Если на той стороне VPN туннеля подключение будет происходить с компьютера или ноутбука, то просто нужно будет создать высокоскоростное подключение через PPPoE в Центре управления сетями и общим доступом (для Win 7, Win 8). Если на второй стороне — тоже роутер Mikrotik, то подключаем следующим образом.

Добавляем PPPoE интерфейс.

На вкладке Interface выбираем PPPoE Client и с помощью кнопки «+» добавляем новый интерфейс.

Здесь в поле Interface мы выбираем тот интерфейс роутера Mikrotik, на котором мы организуем VPN-туннель.

Прописываем настройки подключения

Далее переходим на вкладку Dial Out и вписываем логин и пароль для подключения к VPN туннелю PPPoE.

Ставим галочку в поле Use Peer DNS — для того, чтобы адрес DNS сервера мы получали с сервера VPN (от провайдера), а не прописывали вручную.

Настройки аутентификации (галочки в pap, chap, mschap1, mschap2) должны быть согласованы с сервером.

Теория:VPN:Выбор VPN-протокола

Содержание

На этой странице приведен обзор и сравнительная таблица наиболее часто используемых протоколов. При этом надо помнить, что в жизни используются большое количество других протоколов, таких, как GRE, IPIP и т. д.

Протокол туннелирования точка-точка (Point-to-Point Tunneling Protocol) – это протокол, изобретенный Microsoft для организации VPN через сети коммутируемого доступа. PPTP является стандартным протоколом для построения VPN уже на протяжении многих лет. Это только VPN-протокол и он опирается на различные методы аутентификации для обеспечения безопасности (наиболее часто используется MS-CHAP v.2). Доступен как стандартный протокол почти во всех операционных системах и устройствах, поддерживающих VPN, что позволяет использовать его без необходимости установки дополнительного программного обеспечения. PPTP остается популярным выбором как предприятий, так и VPN-провайдеров. Его преимущество также в том, что он использует меньше вычислительных ресурсов, следовательно обладает высокой скоростью работы.

Хотя PPTP обычно и используется со 128-битным шифрованием, в следующие несколько лет после включения этого протокола в состав Windows 95 OSR2 в 1999 году были найдены ряд уязвимостей. Наиболее серьезной из которых явилась уязвимость протокола аутентификации MS-CHAP v.2. Используя эту уязвимость, PPTP был взломан в течение 2 дней. И хотя компанией Microsoft была исправлена эта ошибка (за счет использования протокола аутентификации PEAP, а не MS-CHAP v.2), она сама рекомендовала к использованию в качестве VPN проколов L2TP или SSTP.

  • клиент PPTP встроен почти во все операционные системы
  • очень прост в настройке
  • работает быстро
  • небезопасен (уязвимый протокол аутентификации MS-CHAP v.2 все еще много где используется)

L2TP и L2TP/IPsec

Протокол туннелирования 2 уровня (Layer 2 Tunnel Protocol) – это протокол VPN, который сам по себе не обеспечивает шифрование и конфиденциальность трафика, проходящего через него. По этой причине, как правило, используется протокол шифрования IPsec для обеспечения безопасности и конфиденциальности.

L2TP/IPsec встроен во все современные операционные системы и VPN-совместимые устройства, и так же легко может быть настроен как и PPTP (обычно используется тот же клиент). Проблемы могут возникнуть в том, что L2TP использует UDP-порт 500, который может быть заблокирован файрволлом, если вы находитесь за NAT. Поэтому может потребоваться дополнительная настройка роутера (переадресация портов). Кстати, протокол SSL, например, использует TCP-порт 443, чтобы быть неотличимым от обычного HTTPS-трафика.

Протокол IPsec на данный момент не имеет никаких серьезных уязвимостей и считается очень безопасным при использовании таких алгоритмов шифрования, как AES. Однако, поскольку он инкапсулирует данные дважды, это не так эффективно, как SSL-решения (например, OpenVPN или SSTP), и поэтому работает немного медленнее.

  • очень безопасен
  • легко настраивается
  • доступен в современных операционных системах
  • работает медленнее, чем OpenVPN
  • может потребоваться дополнительная настройка роутера

Протокол безопасного туннелирования сокетов (Secure Socket Tunneling Protocol) – был представлен Microsoft в Windows Vista SP1, и хотя он теперь доступен на Linux, RouterOS и SEIL, он по-прежнему используется в значительной степени только Windows-системами (есть очень маленький шанс, что он появится на Apple устройствах). SSTP использует SSL v.3 и, следовательно, предлагает аналогичные преимущества, что и OpenVPN (например, возможность использовать TCP-порт 443 для обхода NAT), а так как он интегрирован в Windows, он проще в использовании и более стабилен, чем OpenVPN.

  • очень безопасен (зависит от алгоритма шифрования, обычно используется очень стойкий AES)
  • полностью интегрирован в Windows (начиная с Windows Vista SP1)
  • имеет поддержку Microsoft
  • может работать сквозь файерволлы
  • работает только в Windows-среде

OpenVPN является достаточно новой технологией с открытым кодом, которая использует библиотеку OpenSSL и протоколы SSLv3/TLSv1, наряду с множеством других технологий для обеспечения надежного VPN-решения. Одним из его главных преимуществ является то, что OpenVPN очень гибок в настройках. Этот протокол может быть настроен на работу на любом порту, в том числе на 443 TCP-порту, что позволяет маскировать трафик внутри OpenVPN под обычный HTTPS (который использует, например, Gmail) и поэтому его трудно заблокировать.

Еще одним преимуществом OpenVPN является то, что используемые для шифрования библиотеки OpenSSL поддерживают множество криптографических алгоритмов (например, AES, Blowfish, 3DES, CAST-128, Camelia и другие). Наиболее распространенные алгоритмы, которые используют VPN-провайдеры – AES и Blowfish. AES является новой технологией, и хотя оба считаются безопасными, тот факт, что он имеет 128-битный размер блока, а не 64-битный как у Blowfish, означает, что он может работать с большими (более 1Гб) файлами лучше. Различия, однако, довольно незначительные. То, как быстро работает OpenVPN, зависит от выбранного алгоритма шифрования, но, как правило, работает быстрее, чем IPsec.

OpenVPN стал технологией №1 при использовании VPN, и хотя он изначально не поддерживается операционными системами, этот протокол широко поддерживается через стороннее программное обеспечение. Совсем недавно невозможно было использовать OpenVPN на iOS и Android без джейлбрейка и рута, а сейчас появились сторонние приложения, которые частично решили эту проблему. С этим связана другая проблема OpenVPN – гибкость может сделать его неудобным в настройке. В частности, при использовании типовой программной реализации OpenVPN (например, стандартный открытый клиент OpenVPN под Windows) необходимо не только скачать и установить клиент, но и загрузить и установить дополнительные конфигурационные файлы. Многие VPN-провайдеры решают эту проблему путем использования преднастроенных VPN-клиентов.

  • гибко настраивается
  • очень безопасен (зависит от выбранного алгоритма шифрования, но все они безопасны)
  • может работать сквозь файрволлы
  • может использовать широкий спектр алгоритмов шифрования
  • необходимо стороннее программное обеспечение
  • может быть неудобен в настрой
  • ограниченная поддержка портативными устройствами

Таблица сравнения

PPTP L2TP/IPSec OpenVPN SSTP
Уровень шифрования Текст ячейки Текст ячейки Текст ячейки Текст ячейки
Поддерживаемые ОС Windows, Mac OS X, Linux, iOS, Android, Windows Phone, DD-WRT Windows, Mac OS X, Linux, iOS, Android, Windows Phone, DD-WRT Windows, Mac OS X, Linux, iOS, Android Windows
Безопасность Низкая Высокая Очень высокая Очень высокая
Скорость Высокая Требовательная к ресурсам ЦП Отличная производительность. Работает быстро даже при соединениях с высокими задержками Отличная производительность. Работает быстро даже при соединениях с высокими задержками
Настройка Очень простая. Протокол встроен во многие устройства. Не требует дополнительного ПО. Простая. Требует дополнительные настройки. Протокол встроен во многие устройства. Не требует дополнительного ПО. Требует установки дополнительного ПО. Необходима установка сертификатов. Протокол встроен в Windows Vista и более поздние. Необходима установка сертификатов.
Используемые порты TCP 1723, GRE UDP 1701, UDP 500, UDP 4500, ESP TCP 993, TCP 443 TCP 443
Итого Быстрый и очень легкий в настройке. Хороший выбор, если устройства не поддерживают OpenVPN или SSTP. Хороший выбор, если устройства не поддерживают OpenVPN или SSTP и требуется высокая безопасность. Рекомендованный протокол для Windows, Linux и Mac OS. Высокая производительность, безопасность и стабильность. Работает только с Windows. Высокая производительность, безопасность и стабильность.

Заключение

PPTP небезопасен (даже его создатели в Microsoft отказались от него), поэтому его использования следует избегать. В то время, как простота установки и кроссплатформенная совместимость являются привлекательными, L2TP/IPsec имеет те же преимущества и является более безопасным.

L2TP/IPsec является хорошим решением VPN, но не таким хорошим, как OpenVPN. Однако, для быстрой настройки VPN без необходимости установки дополнительного программного обеспечения остается лучшим решением, особенно для мобильных устройств, где поддержка OpenVPN по-прежнему на низком уровне.

OpenVPN является лучшим решением VPN несмотря на необходимость стороннего программного обеспечения во всех операционных системах. Это надежный, быстрый и безопасный протокол, хотя и требует немного больше усилий, чем другие протоколы.

SSTP предлагает большинство преимуществ OpenVPN, но только в среде Windows. Это означает, что он лучше интегрирован в ОС, но благодаря этому он слабо поддерживается VPN-провайдерами.

Большинство пользователей могут использовать OpenVPN на своих настольных компьютерах, возможно, дополнив его L2TP/IPsec на своих мобильных устройствах.

Настройка роутинга интернета через VPN сервер на MikroTik

В связи с тем, что вопрос использования частных VPN серверов ставится все чаще, поскольку все больше и больше ресурсов блокируются на территории страны без разбора, то я рекомендую следующее решение. Вы устанавливаете свой частный VPN сервер заграницей (например, на базе CentOS), а в вашем офисе или квартире вы ставите сетевое оборудование, которое маршрутизирует весь ваш трафик через этот VPN сервер. В качестве такого устройства — надежного и стабильного я рекомендую использовать роутеры MikroTik.

В этой статье я рассказываю, как настроить роутер MikroTik для маршрутизации интернет трафика через VPN на примере hAP ac lite. К сожалению, все статьи, что я читал на эту тему обзорные и не полные, в них отсутствуют некоторые необходимые шаги.

Предположим, что ваш роутер подключен к интернет через Ethernet и провайдер выдает IP динамически. Пусть наш Ethernet порт подключенный к кабеля провайдера называется в Mikrotik «ether1 wan» и он получил IP 10.54.194.83/20 и ходит он через шлюз 10.54.192.1. Создадим VPN туннель поверх этого соединения.

1. Откройте Winbox Mikrotik.

2. Добавьте новый интерфейс PPTP:

  • «Interfaces» > «+» >PPTP Client
  • «Name»: любое
  • «Type»: PPTP Client

3. Далее выберите вкладку «Dial Out»

  • «Connect to»: IP или FQDN вашего сервера
  • «User»:
  • «Password»:
  • «Profile»: default encryption
  • «Keepalive Timeout»: 60 или оставьте пустым
  • Add default route: enable
  • Default route distance: 1
  • «Allow»: mschap2, mschap1, chap (только если требует VPN сервер)

Нажимаем Apply и проверяем, что соединение установилось — статус connected, running.

4. Переходим на вкладку «IP» > «Route List» и проверяем в таблице наличие маршрута созданного VPN подключением.

Если ваш VPN сервер выдает IP адреса сети 172.16.0.0/16, то должна появиться строка Dst. address = 172.16.0.1 с gateway = «your_VPN_conenction reachable». Reachable здесь показывает, что само соединение работает и доступно.

Помимо этого должна появиться строка Dst. address = 0.0.0.0/0 с gateway = «your_VPN_conenction reachable» и distance = 1. Если такой строки нет, то её нужно создать, нажав + в окне Routes.

Поскольку Ethernet WAN соединение, которое является DHCP клиентом, создает свою запись в маршрутах с сетью назначения 0.0.0.0/0 и дистанцией = 1, то это будет конфликтовать с VPN туннелем. Необходимо удалить эту строку, чтобы запись с distance = 1 осталась одна. Далее, необходимо добавить статический маршрут через сеть провайдера с адресом назначения 0.0.0.0/0, но дистанцией 2 или более. Это нужно для того, чтобы в случае, когда VPN не доступен или отключен, пустить весь трафик через через шлюз провайдера.

Также проверьте, что для работы сети провайдера есть динамический или статический маршрут с дистанцией 0 и интерфейсом по умолчанию — вашим WAN портом. В нашем случае это 10.54.194.83/20, ходящий через DHCP WAN интерфейс 10.54.194.83.

В нашем примере сеть VPN это de4.vpnbook.com, VPN сеть доступна через шлюз — 172.16.36.1 с дистанцией 0. Этот маршрут добавлен автоматически VPN соединением (динамические маршруты букву D в первой колонке):

VPN маршруты в Mikrotik

5. Осталось только добавить несколько правил файервола, которые разрешат использование PPTP.

Для этого открываем раздел IP> → FirewallNAT и нажимаем +. Перед нами открывается страница добавления нового правила, заполняем её следующим образом:

  • На закладке General:
    • Chain: srcnat
    • Out interface: название вашего PPTP соединения
  • На закладке Action:

L2TP клиент настраивается аналогично, разница во 2 и 3 шаге. Также там необходимо включить IPsec и ввести ввести ключ IPsec в поле IPsec secret.

Настройка PPTP Server Mikrotik

При объединении удаленных офисов в одну сеть возникает столько проблем, что всё это превращаются в неприятное занятие. Данную проблему предлагаю решить с помощью роутеров Mikrotik. Конкретно, возьмем Mikrotik RB450g.

Очень мощная платформа, достаточно памяти для добавления правил, что так необходимо в крупном офисе, и мощный процессор.

PPTP (Point-to-point tunneling protocol) – защищенное туннельное соединение между сервером и компьютером.

Вкладка PPP.

Запускаем PPTP server.

Теперь добавим пользователей, которые смогут подключатся к серверу RouterBoard RB/450g.

Пишем свои имена и пароли.

Local Address остается неизменным (пишем сюда шлюз внутренней удаленной сети).

В Remote Address пишем адреса, которые сервер будет раздавать клиентам сервера.

Иногда при подключении к серверу соединение есть, но внутреннюю сеть не видно. В таком случае на интерфейсе локальной сети надо сделать следующие настройки.

PPTP Server поднят и настроен.

На компьютере (WIN Xp) настроим удаленное подключение к нашему серверу.

Запустим мастер новых подключений.

Выбираем подключить к сети на рабочем месте.

Подключение к виртуальной части сети.

Пишем название подключения.

Добавляем внешний реальный IP-адрес нашего сервера RouterBoard RB/450g.

У каждого он свой. Мы добавим для примера – 200.11.11.1

Появилось наше подключение.

Запустив подключение, добавляем пароль и логин, которые мы писали на сервере.

На рабочем столе должно появиться подключение.

Связь с удаленной сетью установлена. Теперь нам осталось только зайти на любой компьютер удаленной сети. Проделаем это следующей командой.

После чего расшаренные ресурсы удаленного компьютера нам доступны.

Таким путём можно настроить любой роутер под управлением операционной системы Mikrotik и получить доступ к любой внутренней сети в офисе или дома.

Станислав Науменко специально для asp24

Вас может заинтересовать

Если Вы нашли ошибку в тексте, то выделите ее мышкой и нажмите Ctrl + Enter или нажмите здесь.

Большое спасибо за Вашу помощь! Мы скоро исправим ошибку!

Сообщение не было отправлено. Пожалуйста, попробуйте еще раз.

Сообщение об ошибке

Ваш комментарий (не обязательно):

Об авторе Stanislav_Naumenko
30 Comments

Спасибо, как раз пригодилось.

цитата>> …расшаренные ресурсы удаленного компьютера нам доступны.
Это, конечно, так, НО есть большой облом т.к. в “Сетевом окружении” удалённые компьтеры не видны, и если не знаешь IP-адрес этого удалённого компьютера, то остаётся только гадать…

Спасибо за отличную статью! Очень помогла. Так держать =)

Статья супер но меня не пускает и 800 или 619 ошибку.

Ваще отец, все прошло на ура

Если используете firewall, незабудьте про это:
Make sure the TCP connections to port 1723 can pass through both directions between your sites. Also, IP protocol 47 should be passed through.

Подскажите пожалуйста, а можно ли на Mikrotik RB750 организовать свой VPN-сервис доступный извне (чтобы люди могли использовать мой IP для выхода в Интернет подключаясь извне к моему VPN-серверу т.е. к Mikrotik’y непривязанному к другим серверам?)

efx, именно эту цель преследовал и я когда поднимал PPTP-сервер на Микротике (сделал на работу “быстрый инет”, благо, дома тот же провайдер:)). Надо сказать, что все работает на УРА!
dies дело говорит – нужно прописать в файерволле правила на доступ к ВПН-серверу из вне, иначе облом-с.

ты головой подумай и еще раз задай вопрос(извиняюсь за грубость)

Можно ли сделать так, чтобы клиент, после подключения к впн на микротике, выходил в интернет (допустим только по 80 порту) уже не через свой роутер, а через микротик. Эдакий Нат-прокси

Вообще-то так и будет. Ибо шлюз в системе один. А адрес назначется вместе со шлюзом. Обычно проблема стоит наоборот, чтобы при подключении пользователь продолжал ходить в инет со своего канала, а туннель пользовал только для ресурсов, ради которых он поднят. Это уже достигается простейшим смдшником с задействованием команды route add.

Кстати, вопрос, а как сделать так, чтобы ppp клиентам ip адреса раздавались из диапазона внутренней сети тамошним dhcp? При условии, что dhcp сервер не на микротике, а внутри сети.

на удаленном компе просто убери галку “использовать шлюз в удаленной сети” в свойствах TCP-IP подключения.

Я не совсем понял вашей критики, banzay

Добрый день. Не могу поднять PPTP server на микротике RB751u RouterOS v 6.4. Микротик стоит дома,подключение к нету по PPPOE, делал все что угодно(и правила прописывал в фаерволе),при подключение в микротике создается интерфейс “PPTP Server Binding” на удаленном компе,зависает табличка “проверка имени и пароля” и вылетает ошибка 806.
даже если вести неправильный пароль тоже самое. В логах микротика пишет
TCP connection established from 80.204……
pptp-1 waiting for call
pptp-1 terminating
pptp disconnected
Такое ощущение что не проходит авторизация,пробовал все отключать и включать,пересмотрел весь нет, такой проблемы не увидел. раньше когда был подключен через Уойту без проблем поднималось,делал все как здесь и ничего больше(но версия была 6,1) кто знает в чем проблема? подключатся пробовал с двух мест.

Всё сделал.. по гайду.. всё получилось..
Но расшаренные ресурсы не доступны мне с клиента..
Клиент – XP, ПК за Микротиком – Win 7

С Win 7 на XP могу зайти.. наоборот нет..
В чём может быть дело?

Народ, в чем дело может быть:
включил pptp сервер, создал 3 пользователя для подключения.
2 пользователя подключаются нормально, а третий пишет проверка логина/пароля и не подключается. если одного из подключенных отключить, то подключение у третьего происходит нормально.
помогите найти решение.

Компания микрософт одновременно разрешает работу только двух клиентов ВПН. Возможно дело в винде

Аналогичная проблема как у пользователя srv
pptp-1 waiting for call
pptp-1 terminating
pptp disconnected

т.е. с внешней сети не могу соединится, с внутренней всё проходит нормально…

Вопрос. Можно ли при создании впн у клиента задать свой айпи? При попытке указать свой айпи даже из пула выделяемых (в т.ч тот, который последним был получен от сервера) появляется ошибка 734.

Добрый день знатоки.

Пытаюсь объединить два офиса по VPN-PPTP, на обоих концах Mikrotik RB2011 IOS 6.11.

Главный офис:
Сеть 10.20.0.0/24
Внешний 1.1.1.1

Филиал:
Сеть 10.160.65.0/24
Внешний 2.2.2.2

Создал на “главном офисе” PPTP-server
РРР Secret:
Name: user1
Passwd: user1
Service: pptp
Lacal Addr: 192.168.5.1
Remote Addr: 192.168.5.2

Создал Route:
Dst. Addr: 10.160.65.0/24
Gateway: 192.168.5.2
*********************************************
Филиал
Создал PPTP-Client
Connect To: 1.1.1.1
User: user1
Passwd:user1

Создал Route:
Dst. Addr: 10.20.0.0/24
Gateway: 192.168.5.1
******************************************
На обоих сторонах NAT-masquerade создан на локальные сети
Firewall – отключен
*******************************************
Проблема в следующем:
Вижу сеть филиала и обратно, все ок, но не вижу то оборудование, в котором не указывается шлюз, но он в этой сети. Т.е. Шлюзом в филиале стоит “Микротик 10.160.65.1″, но есть свичи в которых не пропишешь шлюз.
Пробовал Proxy-Arp на локальных интерфесах – не помогло((
Я думаю что где то должно прописыватся “IP forwarding” как в линуксе
До Микротика у меня VPN был организован на Linux OPENVPN – тогда все работало и я все видил

VPN на MikroTik по протоколу PPTP: преимущества канала и регламент настройки сервера

Научимся создавать сеть между удалёнными друг от друга офисами, находящимися например в разных городах или даже странах на примере MikroTik. Такие сети можно строить между любыми маршрутизаторами имеющими PPtP сервера и клиенты. Будь то Windows Server или DD-WRT вы тоже их сможете соединить с вашим MikroTik по стандартному тунелирующему протоколу PPtP. Будем рассматривать простой случай – два маршрутизатора марки MikroTik и необходима сеть на третьем уровне OSI.

Настройка начинается с активации PPtP сервера на первом MikroTik. Кроме всего прочего он должен иметь статический адрес в интернете. Более подробно про настройку pptp сервера читайте здесь .

На этом же маршрутизаторе создаётся акаунт для входящего PPtP соединения через PPP/Secrets. Cоздадим акаунт VileikaNet:

В Interfaces рекомендуем плюсиком создать PPtP server для входящего с другого MikroTik соединения. User это созданный ранее акаунт VileikaNet имя интерфейса может быть любое например ShanhaiNet:

Пропишем маршрут на сеть из другого офиса (там сеть 192.168.0.0/24) используя обязательно шлюзом интерфейс ShanhaiNet (в версии Mikrotik v3.30 наблюдалась нестабильность работы тунеля когда шлюзом стоял IP адрес удалённого машрутизатора):

Всё настройка первого маршрутизатора завершена.

Настроим второй микротик:

В Interfaces создаём PPtP client в котором укажем статический адрес в интенете первого маршрутизатора, акаунт на первом MikroTik, пароль от него, профиль default-encription (тоже подойдёт если вы не изменяли его). Снимем галки с pap и chap чтобы пароль не передавался через интернет открытым текстом.

Назовём интерфейс созданный нами например SpeedNet:

Пропишем маршрут на сеть первого маршрутизатора (там адреса 10.24.3.0/24) опять же выбрав шлюзом PPtP соединение SpeedNet

Сеть готова можно проверить трасировки с первого MikroTik Tools/Tracertroute:

Проверим доступность компьютера в сети второго MikroTik выполнив команду ping 192.168.0.10 -t. Напомню что файрвол на пингуемой Windows машине должен быть выключен, чтобы получить отклик.

Настройка VPN PPTP на микротик(Mikrotik)

В этой статье я расскажу как настроить маршрутизатор Mikrotik hap серии RB951Ui-2ND (mipsbe)

  1. Создаем пул адресов, которые будут выдаваться клиентам. Заходим в меню IP-Pool. и создаем пул, пишем любое логичное название и прописываем диапазон, например 192.168.15.10-192.168.15.50. Это адреса, которые будут выдаваться клиентам. В моем варианте, это адрес не основной сети. Основная сеть 192.168.1.0/24. Потом будет настроена маршрутизация за счет NAT(это будет односторонний доступ). Если создать пул из вашей рабочей сети, то будет меньше танцев с бубном.
  1. Далее идем в основное меню, во вкладку PPP, и переходим в Profiles, жмем плюсик и создаем новый профиль, придумываем название. В Local Address прописываем ip нашего PPTP сервера, например, 168.15.1, а в Remote Address выбираем ранее созданный профиль в Pool. В Bridge подставляем бридж интерфейс, который вы создавали ранее, когда объединяли интерфейсы, если такое было.
    Здесь же, переходим на вкладку Protocols и поставим галочку в yes, раздела Use Encryption, после чего жмем ОК.
  2. Переходим в Interface, кликаем по вкладке PPTP Server и ставим галочку в Enabled, а в Default Profile выбираем созданный ранее профиль из пункта 2(см.выше). Жмем ОК.
  3. Переходим во вкладку Secrets, жмем плюсик, и создаем нового пользователя, придумываем логин, пароль, в Service выбираем pptp, в Profile выбираем созданный ранее профиль из пункта 2(см.выше). Жмем ОК.
  4. Если мы выбрали пул из адресного пространства рабочей сети, то, чтобы она была доступна для VPN клиентов, нужно перейти в основное меню – Interfaces, и в интерфейсе, который смотрит в вашу сеть, в пункте ARP выбрать proxy_arp, это можно поставить и в bridge интерфейсе.
  5. И последнее, это разрешим доступ к порту 1723. Открываем IP – Firewall, вкладка Filter Rules. Нажимаем плюсик, и на вкладке General в Chain выбираем input, Protocol – tcp, Dst.Port – 1723. На вкладке Action проверяем, чтобы стояло – accept.

 Этого будет достаточно, чтобы могли подключатся пользователи по VPN.

Если у VPN клиентов другое адресное пространство, то один из вариантов, сделать для них доступной основную сеть, –  настроить nat(это будет односторонний доступ). Такой вариант настройки я использовал, потому что в основной сети, шлюз у пользователей отличался от ip микротика.

  • Открываем IP – Firewall, вкладка NAT в Chain выбираем srcnat, Src. Address 168.15.0/24 (это адрес пула сети, которую мы присваиваем vpn клиентам), а в Out. Interface  можно выбрать бридж или лан интерфейс. На вкладке Action выбираем masquerade.

Примечание: Правило срабатывает не сразу, нужно немного подождать, где-то 30сек.

 

Рекомендовать

Оценить статью

Настройка PPTP VPN подключения на роутере Mikrotik

При создании PPTP VPN соединения, будьте уверены, что заполнили следующие данные:

  • NameЛюбое, например «PPTP pogodi.nu «
  • ConnectToЛюбой, из нашего списка, например lu01.pogodinu.com
  • Max MTU + Max MRU: Устанавливайте1400
  • User: Ваш логин, выданный при покупке подписки
  • PasswordВаш пароль, выданный при покупке подписки
  • Отметьте «DialOnDemand» для реконнекта при дисконнекте.
  • Отметьте «AddDefaultRoute» для роутинга трафика.
  • Allowоставьте метод аутентификации по умолчанию
  • Оставьте «Enabled» чекбокс по умолчанию.
  • Нажмите «OK«.
  • Откройте вкладку «IP» и выберите «Firewall» и «NAT«.
  • В «Chain«, выберите «srcnat«, отметьте «Enabled» чекбокс.
  • В «Out. Interface«, выберите имя соединения PPTP VPN, которое вы создали и отметьте чекбокс.
  • В «Action«, отметьте «Masquerade«.
  • Нажмите «OK«.
  • Идите во вкладку «Mangle» , выберите «Addnew«.
  • В «Chain«, выберите «prerouting«.
  • В «Src. Adress«, укажите диапазон IP адресов, которые вы хотите пустить через VPN. Для роутинга всех IP в подсети Микротика, введите «192.168.88.2-192.168.88.254«. Отметьте следующий за этим полем чекбокс.
  • В «Action«, выберите «mark routing».
  • В «New Routing Mark«, введите имя шаблона роутинга, например, «PPTP RM«
  • Нажмите «OK».
  • Откройте вкладку «IP» и затем, в «Routes» и «AddNew«.
  • Dst. Address:должен быть «0.0.0.0/0».
  • Gateway:Здесь укажите имя VPN соединения, которое вы создали. (например « PPTPpogodi.nu«)
  • RoutingMark:выберите имя шаблона роутинга, который вы создали. (например «PPTP RM«)
  • Нажмите «OK«.
  • Откройте «IP» и «DNS«.
  • Выберите «Static» и «Settings«
  • Нажмите «Enabled«
  • В поле «Servers«, введите сервера OpenDNS, «208.67.222.222» и «208.67.220.220» в другом. Так-же, можете использовать Google DNS сервера – 8.8.8.8
  • Выберите «Allow Remote Requests«.
  • Нажмите «OK».

Теперь, в зависимости от того, выдает ли ваш роутер IP адреса, вашим устройствам через DHCP или нет, вам нужно изменить DHCP настройки для роутера Микротик:

Если вы прописываете IP-адреса в вашей сети вручную, можете пропустить этот шаг:

  • Идите в «IP» и «DHCPClient».
  • Два раза кликните по dhcp и уберите «UsePeerDNS«.
  • Нажмите «OK

Это все, теперь протестируйте ваше PPTP соединение.

  • Идите обратно в «PPP» и два раза кликните на PPTP соединении.
  • Выберите «Enabled» чекбокс и нажмите «Apply«.
  • Над  «Status:» Вы увидите статус соединения -> Dialing, Authenticating, Connected
  • Под «Uptime» вы можете проверить насколько оно стабильно и как долго держится.

Если вы не подсоединились, смотрите «Log«.

Подключение удалённого клиента к сети на оборудовании Mikrotik: winand — LiveJournal

При необходимости удалённого доступа к локальной сети можно воспользоваться VPN-туннелем на основе PPTP, подключение, с помощью которого, является наиболее простым, несмотря на свою небезопасность относительно SSTP или OpenVPN. Для последнего типа подключения на клиентской машине под управлением Microsoft Windows требуется установка дополнительного программного обеспечения, поскольку данная операционная система не включает поддержку OpenVPN.

Предположим, что на выходе целевой сети установлен маршрутизатор Mikrotik (на примере RB951G-2HnD) с известным белым IP-адресом. Настройка туннеля состоит из нескольких этапов: добавление учётных данных пользователей на сервере, собственно включение PPTP сервера, создание правил в фаерволе маршрутизатора, настройка подключения на клиентском компьютере и настройка Proxy ARP.

Сначала добавим данные о подключаемом пользователе в базу данных на маршрутизаторе. Для этого в разделе PPP — Secrets нажмите кнопку “+”. В открывшемся окне необходимо ввести пару логин-пароль, указать “pptp” либо “any” в качестве сервиса (Service), а также указать локальный адрес маршрутизатора в поле “Local Address” и произвольный IP-адрес, который будет выдан пользователю, в поле “Remote Address”. Выбранный статический адрес естественно должен принадлежать диапазону локальной сети, однако при стандартных настройках он будет пересекаться с пулом адресов, выдаваемых локальным DHCP, что влечёт вероятность возникновения конфликта. Один из способов избежать этого описан ниже.

Перейдя на вкладку PPP — Interface, откройте окно настройки сервера PPTP кнопкой “PPTP Server”. Здесь достаточно активировать сервер флажком “Enabled”.

Для того, чтобы трафик не блокировался необходимо добавить два правила в фаерволе (IP — Firewall — Filter Rules). Первое правило разрешает трафик на порте 1723: Chain – input, Protocol – 6 (tcp), Dst. Port – 1723, Action – accept. Второе разрешает протокол GRE (Generic Routing Encapsulation), используемый при работе PPTP: Chain – input, Protocol – 47 (gre), Action – accept. Правила нужно располагать в списке перед запрещающими.

Настройку клиентского ПК рассмотрим на примере ОС Windows 7. Создайте новое подключение: Центр управления сетями и общим доступом — Настройка нового подключения или сети — Подключение к рабочему месту — VPN. В поле адреса укажите внешний IP маршрутизатора или его доменное имя. На следующем экране необходимо указать имя пользователя и пароль, введённые на маршрутизаторе на первом этапе настройки. В свойствах созданного подключения на вкладке Безопасность стоит принудительно задать PPTP в качестве типа VPN, а также снять флажок Сеть — IPv4 — Свойства — Дополнительно… — Использовать основной шлюз в удалённой сети, иначе весь нелокальный трафик будет проходить через VPN.

После успешного подключения клиент и маршрутизатор смогут обмениваться данными. Однако этого недостаточно для доступа к другим ресурсам локальной сети. Поэтому для окончания настройки необходимо включить Proxy ARP на маршрутизаторе. Откройте окно Interfaces — Interface — bridge-local и укажите proxy-arp в поле “ARP”.

На этом настройка PPTP-туннеля завершена.

Рассмотрим вариант создания VPN-туннеля на основе L2TP, поскольку в некоторых случаях PPTP может не работать. Например, при подключении выводится ошибка 806, которая зачастую обозначает, что уже упоминавшийся ранее протокол GRE блокируется на пути между клиентом и сервером.

Этапы настройки сервера L2TP на маршрутизаторе Mikrotik мало отличаются от PPTP. Точно так же необходимо включить Proxy ARP, разрешить в фаерволе UDP-порты 1701,500,4500 (Chain – input, Protocol – 17 (udp), Dst. Port — 1701,500,4500, Action — accept), настроить VPN на клиентской машине, указав L2TP IPSec в настройках типа подключения. Там же необходимо убедиться, что не требуется шифрование данных, поскольку L2TP в таком случае потребует установки сертификата.

При настройке аккаунта пользователя в разделе PPP — Secrets нужно задать “l2tp” либо “any” в качестве сервиса, однако не указываем статические адреса как при настройке PPTP выше, поскольку адрес будет выбираться из пула DHCP. На вкладке Profiles создаём новый профиль на основе настроек профиля “default-encryption”; дополнительно задаём локальный адрес маршрутизатора в поле “Local Address” и “dhcp” (имя пула локальных адресов) в поле “Remote Address”. Точно так же можно действовать и в случае использования PPTP.

Наконец включите сервер L2TP в разделе PPP — Interface, при этом указав только что созданный профиль в поле “Default Profile”. Если задать профиль в настройках пользователя, то он будет иметь приоритет выше. На этом настройка завершена, остаётся только проверить работу VPN-подключения.

VPN (PPTP) работает, но нет доступа к устройствам LAN: mikrotik

EDIT 2:

Хорошо, теперь все работает! Я убедился, что интерфейс PPTP-IN1 имеет маршрут к подсети, в которой находятся серверы. Затем я отключил правило NAT, которое маскировало трафик VPN. Спасибо всем!


Итак, я настроил свой первый VPN. Я могу подключиться, и мой общедоступный IP-адрес изменится на IP-адрес VPN-хоста, отлично. Я пытаюсь решить небольшую проблему:

Я не могу получить доступ к каким-либо устройствам в локальной сети.

Локальная сеть

  • У меня три подсети: 192.168.0.0/24 (локальная сеть), 192.168.1.0/24 (гостевой WiFi) и 192.168.2.0/24 (VPN).

  • При подключении к VPN клиенту назначается IP-адрес в подсети 192.168.2.0/24 .

  • Трафик в подсети .1.0 / 24 замаскирован, они не могут получить доступ ни к чему на 0.0 / 24 или 2.0 / 24

  • Есть сервер, сидящий на 192.168.0.150 и один на 192.168.0.151 . Оба видны внутри сети друг для друга и доступны через SSH, FTP изнутри сети.

Клиент

  • Локальный IP-адрес, полученный клиентом из удаленной сети: 192.168.0.10

  • Общий IP-адрес, полученный клиентом из сети VPN: 192.168.2.245

  • Интернет работает, внешний IP сменился на внешний IP локальной сети.

Я не могу использовать PING, FTP, SSH или что-либо еще для серверов, расположенных в локальной сети.

Мне нужен совет, так как я уже бьюсь головой о стену. Может ли кто-нибудь указать мне направление, которое могло бы помочь мне решить эту (возможно, чрезвычайно простую) проблему?

РЕДАКТИРОВАТЬ:

Я внес некоторые изменения в свою сеть. Теперь у меня следующая настройка:

Локальная сеть

  • У меня три подсети: 192.168.10.0 / 24 (локальная сеть), 192.168.20.0/24 (VPN) и 192.168.30.0/24 (гостевой WiFi).

  • При подключении к VPN клиенту назначается IP-адрес в подсети 192.168.20.0/24 .

  • Трафик в подсети .30.0 / 24 замаскирован, они не могут получить доступ ни к чему на 10.0 / 24 или 20.0 / 24

  • Есть сервер, сидящий на 192.168.10.150 и один на 192.168.10.151 . Оба видны внутри сети друг для друга и доступны через SSH, FTP изнутри сети.

Как настроить FastestVPN на маршрутизаторе MikroTik по протоколу PPTP

Настройка FastestVPN PPTP на маршрутизаторе MikroTik

Из этого туториала Вы узнаете, как настроить FastestVPN с использованием протокола PPTP на маршрутизаторе MikroTik

Зайдите в веб-браузер и введите 192.168.88.1 в строке поиска, чтобы получить доступ к веб-панели настройки маршрутизатора. (Это IP-адрес по умолчанию для доступа к маршрутизатору, если вы не меняли его ранее.)

Он запросит имя пользователя и пароль вашего маршрутизатора. Имя пользователя по умолчанию — admin . По умолчанию для MikroTik пароль не требуется.

После входа в систему выполните следующие действия.

Шаг № 1: Нажмите на опцию « PPP » в левом боковом меню.
Нажмите Интерфейс
Нажмите + , а затем Клиент PPTP

Шаг № 2: На вкладке «Общие» введите имя для вашего VPN-подключения, например FastestVPN PPTP .Оставьте поля MTU и Max MRU по умолчанию.

Шаг № 3: Нажмите «Dial Out» и введите следующую информацию:


Шаг №4: В меню слева нажмите IP -> Firewall
Затем на вкладке « NAT » нажмите кнопку « + ».

Шаг № 5: На вкладке «Общие» выберите « srcnat » для поля Chain
В поле «Out. Интерфейс »выберите FastestVPN PPTP, имя выбранного вами VPN-соединения.

Шаг № 6: На вкладке «Действие» выберите « masquerade » и нажмите OK .

Шаг №7: Вы вернетесь в окно «Брандмауэр». Там во вкладке «Mangle» нажмите « + ».

Шаг № 8: На вкладке «Общие» выберите « Prerouting » для поля цепочки.
В « Src. Адрес »введите IP-адрес или диапазон IP-адресов, которые вы хотите маршрутизировать через VPN-соединение.

Примечание : IP-адрес, введенный здесь, является лишь примером (192.168.88.2-192.168.88.254).

Шаг № 9: Перейдите на вкладку «Действия». Выберите маркировку маршрута в поле «Действие».
В «New Routing Mark» введите все, что вам нравится, например «fastestvpn_pptp_mark».
Нажмите « OK»

Шаг № 10: Теперь нажмите « IP » в левом боковом меню и выберите « Routes »
На вкладке «Routes» нажмите кнопку «+».

Шаг № 11: «Летнее время. Адрес »должен быть« 0.0.0.0/0 ».
В поле« Шлюз »выберите имя вашей VPN, в данном случае« FastestVPN PPTP ».
В «Метке маршрута» выберите метку маршрута, созданную на шаге 9.
Щелкните OK

Шаг № 12: Вы вернетесь к списку « Routes », где вы должны увидеть свое VPN-соединение. Щелкните его правой кнопкой мыши и выберите « Включить »

Шаг № 13: В меню слева нажмите IP -> DNS
Добавьте « 8.8.8.8 » в первое поле DNS и « 8.8.4.4 » во второе DNS. Если у вас есть только одно поле DNS, щелкните стрелку вниз, чтобы появилось другое поле.
После этого нажмите «ОК, ».

Теперь вы подключены к FastestVPN на маршрутизаторе MikroTik.

Примечание : Если ваш маршрутизатор MikroTik действует как DHCP-клиент, убедитесь, что настройки DHCP не перезаписывают введенный вручную DNS, и для этого:
Нажмите « IP » в левом меню и выберите «». / DHCP-клиент
После появления «DHCP-клиента» дважды щелкните запись DHCP-клиента.
Снимите флажок « Use Peer DNS option» и нажмите « OK ».


Наслаждайтесь полной свободой в сети с FastestVPN Speed ​​

PPTP между сайтами — Manito Networks

Требования для этой сети не слишком сложны — подключите клиентские сети LAN 192.168.1.0/24 и 192.168.5.0/24 через туннель PPTP через сеть провайдера. Это более дешевая альтернатива туннелям MPLS, хотя, честно говоря, это также совсем другая технология и несколько устаревшая. Маршрутизатор клиента в Сиэтле будет сервером PPTP, а маршрутизатор Санта-Фе будет запускать клиент PPTP.Может быть и наоборот, это не имеет значения, если один маршрутизатор является сервером, а другой — клиентом. Сначала мы включим PPTP-сервер на маршрутизаторе в Сиэтле:

 / interface pptp-server server set authentication = mschap2 enabled = yes
/ ppp profile set [find name = default-encryption] name = default-encryption use-encryption = required 

Я специально установил аутентификацию на MSCHAP v2, потому что это лучшее шифрование, которое может обрабатывать PPTP, а мы этого не делаем хотите использовать что-то меньшее.Мы также установим для используемого профиля PPTP требование шифрования, оно больше не является необязательным.

Затем на маршрутизаторе в Сиэтле мы настроим учетные данные, которые клиент PPTP Санта-Фе будет использовать для создания туннеля:

 / ppp secret add local-address = 10.0.0.1 name = santafe password = supersecretpassword remote-address = 10.0.0.2 service = pptp 

Этот секрет PPP используется клиентом PPTP для установления туннеля. У него есть имя пользователя (santafe), пароль, локальный адрес, который будет динамически назначаться серверу PPTP, и удаленный адрес, который будет динамически назначаться клиенту PPTP.IP-адреса, которые я выбрал для туннеля PPTP, абсолютно произвольны, вы можете использовать все, что захотите, при условии, что они не пересекаются ни с чем, что уже используется.

Нам также необходимо добавить некоторые правила брандмауэра, чтобы разрешить PPTP (который использует GRE) в брандмауэре:

 / ip firewall filter
добавить цепочку = входной комментарий = PPTP dst-port = 1723 protocol = tcp src-address = 72.156.30.2
add chain = input comment = PPTP protocol = gre src-address = 72.156.30.2 

Это разрешает трафик PPTP от маршрутизатора Санта-Фе к маршрутизатору Сиэтла.Я открыл PPTP только для определенного исходного адреса и предлагаю вам сделать то же самое. На этом мы завершаем настройку PPTP-сервера в Сиэтле, давайте посмотрим на Санта-Фе. Первое, что нужно сделать, это добавить те же правила брандмауэра, только с исходным IP-адресом Сиэтла:

 / ip firewall filter.
цепочка dd = входной комментарий = PPTP dst-port = 1723 protocol = tcp src-address = 72.156.29.2
add chain = input comment = PPTP protocol = gre src-address = 72.156.29.2 

Затем мы убедимся, что в профиле Santa Fe PPTP требуется шифрование, как и на роутере в Сиэтле:

 / ppp profile set [найти name = default-encryption] name = default-encryption use-encryption = required 

Далее мы создадим PPTP-клиент, который подключается к роутеру в Сиэтле:

 / interface pptp-client
добавить allow = mschap2 connect-to = 72.156.29.2 отключено = нет mrru = 1600 name = Сиэтл \
пароль = supersecretpassword user = santafe 

На этом этапе клиент PPTP должен автоматически подключиться, и будет создан динамический интерфейс PPTP. IP-адреса, назначенные в секрете PPP, теперь также будут динамически устанавливаться на обоих маршрутизаторах. На сервере PPTP в Сиэтле вы должны увидеть что-то вроде этого для интерфейсов:

Tutorial Mikrotik VPN: Point to Point Tunnel Protocol (PPTP)

PPTP (Туннельный протокол точка-точка) поддерживает зашифрованные туннели через IP.Реализация MikroTik RouterOS включает поддержку клиента и сервера PPTP.

Общие применения туннелей PPTP:

* Для безопасных туннелей маршрутизатор-маршрутизатор через Интернет
* Для соединения (моста) локальных интрасетей или локальных сетей (когда также используется EoIP)
* Для мобильных или удаленных клиентов для удаленного доступа к интрасети / локальной сети компании (см. Настройка PPTP для Windows для получения дополнительной информации)

Каждое соединение PPTP состоит из сервера и клиента. MikroTik RouterOS может функционировать как сервер или клиент — или, для различных конфигураций, он может быть сервером для некоторых подключений и клиентом для других подключений.Например, созданный ниже клиент может подключаться к серверу Windows 2000, другому маршрутизатору MikroTik или другому маршрутизатору, который поддерживает сервер PPTP.
Описание
PPTP — это безопасный туннель для передачи IP-трафика с использованием PPP. PPTP инкапсулирует PPP в виртуальные линии, которые проходят через IP. PPTP включает PPP и MPPE (Microsoft Point to Point Encryption) для создания зашифрованных ссылок. Целью этого протокола является создание хорошо управляемых безопасных соединений между маршрутизаторами, а также между маршрутизаторами и клиентами PPTP (клиенты доступны и / или включены почти во все ОС, включая Windows).

PPTP включает аутентификацию PPP и учет для каждого соединения PPTP. Полная аутентификация и учет каждого соединения могут выполняться через RADIUS-клиент или локально.

Поддерживается шифрование

MPPE 40bit RC4 и MPPE 128bit RC4.

PPTP-трафик использует TCP-порт 1723 и IP-протокол GRE (Generic Routing Encapsulation, IP-протокол ID 47), назначенный Internet Assigned Numbers Authority (IANA). PPTP можно использовать с большинством межсетевых экранов и маршрутизаторов, разрешив маршрутизацию трафика, предназначенного для TCP-порта 1723 и протокола 47, через межсетевой экран или маршрутизатор.

Соединения

PPTP могут быть ограничены или невозможны для настройки через замаскированное IP-соединение / NAT. Дополнительные сведения см. По ссылкам Microsoft и RFC в конце этого раздела.
Настройка клиента PPTP
Уровень подменю: / interface pptp-client
Описание свойства
name (name; по умолчанию: pptp-out1) — имя интерфейса для ссылки
mtu (integer; по умолчанию: 1460) — Максимальный переданный блок. Оптимальное значение — MTU интерфейса, над которым работает туннель, уменьшенное на 40 (поэтому для 1500-байтового канала Ethernet установите MTU равным 1460, чтобы избежать фрагментации пакетов)
mru (целое число; по умолчанию: 1460) — Максимальный прием Единица.Оптимальное значение — MTU интерфейса, над которым работает туннель, уменьшенное на 40 (так, для 1500-байтового канала Ethernet установите MRU на 1460, чтобы избежать фрагментации пакетов)
connect-to (IP-адрес) — IP-адрес сервера PPTP для подключения к
пользователь (строка) — имя пользователя для использования при входе на удаленный сервер
пароль (строка; по умолчанию: «») — пароль пользователя для использования при входе на удаленный сервер
профиль (имя; default: default) — профиль для использования при подключении к удаленному серверу
add-default-route (yes | no; default: no) — использовать ли сервер, к которому подключен этот клиент, в качестве маршрутизатора (шлюза) по умолчанию.
Пример
Чтобы настроить PPTP-клиента с именем test2, используя имя пользователя john с паролем john для подключения к 10.1.1.12 Сервер PPTP и использовать его в качестве шлюза по умолчанию:

[admin @ MikroTik] интерфейс pptp-client> add name = test2 connect-to = 10.1.1.12 \
\… user = john add-default-route = yes password = john
[admin @ MikroTik] interface pptp-client> print
Флаги: X — отключено, R — запущено
0 X name = ”test2 ″ mtu = 1460 mru = 1460 connect-to = 10.1.1.12 user =” john ”
password =” john ”profile = default add-default- route = да

[admin @ MikroTik] интерфейс pptp-client> включить 0

Мониторинг клиента PPTP
Имя команды: / interface pptp-client monitor
Описание свойства
Статистика:

uptime (время) — время соединения отображается в днях, часах, минутах и ​​секундах Кодировка
(строка) — шифрование и кодировка (если асимметричны, разделены символом ‘/’), используемые в этом соединении.
status (string) — status of клиент:
# Набор номера — попытка установить соединение
# Проверка пароля… — соединение с сервером установлено, выполняется проверка пароля
# Подключено — не требует пояснений
# Завершено — интерфейс не включен или другая сторона будет не установить соединение

Пример
Пример установленного соединения:

[admin @ MikroTik] интерфейс pptp-client> monitor test2
uptime: 4h45s
кодировка: MPPE 128 бит, статус
без сохранения состояния: подключен
[admin @ MikroTik] интерфейс pptp-client>

Настройка сервера PPTP
Уровень подменю: / interface pptp-server server

[admin @ MikroTik] интерфейс pptp-server server> print
enabled: no
mtu: 1460
mru: 1460
authentication: mschap2
default-profile: default
[admin @ MikroTik] interface pptp-server server>

Описание
Сервер PPTP поддерживает неограниченное количество подключений от клиентов.Для каждого текущего соединения создается динамический интерфейс.
Описание свойства
включен (да | нет; по умолчанию: нет) — определяет, включен ли сервер PPTP.
mtu (целое число; по умолчанию: 1460) — Максимальный блок передачи. Оптимальное значение — MTU интерфейса, над которым работает туннель, уменьшенное на 40 (поэтому для 1500-байтового канала Ethernet установите MTU равным 1460, чтобы избежать фрагментации пакетов)
mru (целое число; по умолчанию: 1460) — Максимальный прием Единица. Оптимальное значение — MTU интерфейса, над которым работает туннель, уменьшенное на 40 (так, для 1500-байтового канала Ethernet установите MTU равным 1460, чтобы избежать фрагментации пакетов)
аутентификация (множественный выбор: pap | chap | mschap1 | mschap2; по умолчанию: mschap2) — алгоритм аутентификации
default-profile (name; default: default) — профиль по умолчанию для использования
Пример
Для включения сервера PPTP:

[admin @ MikroTik] интерфейс pptp-server server> set enabled = yes
[admin @ MikroTik] interface pptp-server server> print
enabled: yes
mtu: 1460
mru: 1460
аутентификация: mschap2
default-profile: по умолчанию
[admin @ MikroTik] интерфейс pptp-server server>

Пользователи сервера PPTP
Уровень подменю: / interface pptp-server
Описание
В конфигурации сервера PPTP есть два типа элементов — статические пользователи и динамические соединения.Динамическое соединение может быть установлено, если для базы данных пользователей или профиля по умолчанию правильно установлены локальный адрес и удаленный адрес. При добавлении статических пользователей в профиле по умолчанию можно оставить значения по умолчанию, и нужно настроить только пользователя P2P (в секрете / ppp). Обратите внимание, что в обоих случаях пользователи P2P должны быть правильно настроены.
Описание свойства
name — имя интерфейса
user — имя пользователя, которое настраивается статически или добавляется динамически

Статистика:

mtu — показывает (не может быть задано здесь) клиентский MTU
client-address — показывает (не может быть установлен здесь) IP подключенного клиента
uptime — показывает, как долго клиент подключен
кодировка (строка) — шифрование и кодирование ( если асимметричный, разделенный символом ‘/’), используемый в этом соединении
Пример
Чтобы добавить статическую запись для пользователя ex1:

[admin @ MikroTik] интерфейс pptp-server> добавить пользователя = ex1
[admin @ MikroTik] интерфейс pptp-server> print
Флаги: X — отключен, D — динамический, R — запущен
# ИМЯ ПОЛЬЗОВАТЕЛЯ MTU КЛИЕНТ-АДРЕС UPTIME ENC…
0 DR ex 1460 10.0.0.202 6m32s нет
1 pptp-in1 ex1
[admin @ MikroTik] интерфейс pptp-server>

В этом примере показан уже подключенный пользователь ex, помимо только что добавленного.
Пример защищенного туннеля между маршрутизаторами PPTP
Ниже приведен пример соединения двух интрасетей с использованием зашифрованного туннеля PPTP через Интернет.

В этом примере два маршрутизатора:

* [HomeOffice]
Интерфейс LocalHomeOffice 10.150.2.254/24
Интерфейс к Интернету 192.168.80.1 / 24

* [RemoteOffice]
Интерфейс к Интернету 192.168.81.1/24
Интерфейс LocalRemoteOffice 10.150.1.254/24

Каждый маршрутизатор подключен к другому интернет-провайдеру. Один маршрутизатор может получить доступ к другому маршрутизатору через Интернет.

На PPTP сервере должен быть настроен пользователь для клиента:

[admin @ HomeOffice] ppp secret> add name = ex service = pptp password = lkjrht
local-address = 10.0.103.1 remote-address = 10.0.103.2
[admin @ HomeOffice] ppp secret> print detail
Флаги: X — отключен
0 имя = «ex» service = pptp идентификатор-вызывающего = «» пароль = «lkjrht» профиль = по умолчанию
local-address = 10.0.103.1 удаленный адрес = 10.0.103.2 маршруты == ””

[admin @ HomeOffice] ppp secret>

Затем пользователя нужно добавить в список серверов PPTP:

[admin @ HomeOffice] интерфейс pptp-server> добавить пользователя = ex
[admin @ HomeOffice] интерфейс pptp-server> print
Флаги: X — отключен, D — динамический, R — запущен
# ИМЯ ПОЛЬЗОВАТЕЛЯ MTU КЛИЕНТ-АДРЕС UPTIME ENC…
0 pptp-in1 ex
[admin @ HomeOffice] интерфейс pptp-server>

И наконец, сервер должен быть включен:

[admin @ HomeOffice] interface pptp-server server> set enabled = yes
[admin @ HomeOffice] interface pptp-server server> print
enabled: yes
mtu: 1460
mru: 1460
аутентификация: mschap2
default-profile: по умолчанию
[admin @ HomeOffice] интерфейс pptp-server server>

Добавьте PPTP-клиента к маршрутизатору RemoteOffice:

[admin @ RemoteOffice] интерфейс pptp-client> add connect-to = 192.168.80.1 user = ex \
\… password = lkjrht disabled = no
[admin @ RemoteOffice] interface pptp-client> print
Flags: X — disabled, R — running
0 R name = ”pptp-out1 ″ mtu = 1460 mru = 1460 connect-to = 192.168.80.1 user = «ex»
password = «lkjrht» profile = default add-default-route = no

[admin @ RemoteOffice] интерфейс pptp-client>

Таким образом, между маршрутизаторами создается туннель PPTP. Этот туннель подобен двухточечному соединению Ethernet между маршрутизаторами с IP-адресами 10.0.103.1 и 10.0.103.2 на каждом маршрутизаторе. Он обеспечивает «прямую» связь между маршрутизаторами по сторонним сетям.

Для маршрутизации локальных интрасетей через туннель PPTP добавьте следующие маршруты:

[admin @ HomeOffice]> ip route добавить dst-адрес 10.150.1.0/24 шлюз 10.0.103.2
[admin @ RemoteOffice]> ip route добавить dst-адрес 10.150.2.0/24 шлюз 10.0.103.1

На сервере PPTP это также можно сделать с помощью параметра routes конфигурации пользователя:

[admin @ HomeOffice] ppp secret> print detail
Flags: X — disabled
0 name = ”ex” service = pptp caller-id = ”” password = ”lkjrht” profile = default
local-address = 10.0.103.1 удаленный адрес = 10.0.103.2 маршруты == ””

[admin @ HomeOffice] ppp secret> set 0 routes = ”10.150.1.0/24 10.0.103.2 1 ″
[admin @ HomeOffice] ppp secret> print detail
Flags: X — disabled
0 name =” ex ”service = pptp caller-id = ”” пароль = ”lkjrht” профиль = по умолчанию
локальный-адрес = 10.0.103.1 удаленный-адрес = 10.0.103.2
маршруты = ”10.150.1.0/24 10.0.103.2 1 ″

[admin @ HomeOffice] ppp secret>

Проверить соединение туннеля PPTP:

[admin @ RemoteOffice]> / ping 10.0.103.1
10.0.103.1 понг: ttl = 255 время = 3 мс
10.0.103.1 понг: ttl = 255 время = 3 мс
10.0.103.1 понг: ttl = 255 время = 3 мс
пинг прерван
3 пакета переданы, Получено 3 пакета, потеря пакетов 0%
туда и обратно мин. / Средн. / Макс. = 3 / 3,0 / 3 мс

Проверить соединение через туннель PPTP с интерфейсом LocalHomeOffice:

[admin @ RemoteOffice]> / ping 10.150.2.254
10.150.2.254 pong: ttl = 255 time = 3 ms
10.150.2.254 pong: ttl = 255 time = 3 ms
10.150.2.254 pong: ttl = 255 time = 3 мс
ping прерван
3 пакета передано, 3 пакета получено, 0% потеря пакетов
двусторонний обход мин / средн / макс = 3 / 3,0 / 3 мс

Чтобы установить мост LAN через этот защищенный туннель, см. Пример в разделе «EoIP» руководства. Чтобы установить максимальную скорость для трафика по этому туннелю, обратитесь к разделу «Очереди».

Подключение удаленного клиента через туннель PPTP
В следующем примере показано, как подключить компьютер к сети удаленного офиса через зашифрованный туннель PPTP, предоставляя этому компьютеру IP-адрес из той же сети, что и удаленный офис (без необходимости использования моста через туннели eoip. )

Пожалуйста, обратитесь к соответствующему руководству по настройке PPTP-клиента с программным обеспечением, которое вы используете.

Маршрутизатор в этом примере:

* [RemoteOffice]
Интерфейс к Интернету 192.168.81.1/24
Интерфейс Office 10.150.1.254/24

Клиентский компьютер может получить доступ к маршрутизатору через Интернет.

На PPTP сервере должен быть настроен пользователь для клиента:

[admin @ RemoteOffice] ppp secret> add name = ex service = pptp password = lkjrht
local-address = 10.150.1.254 remote-address = 10.150.1.2
[admin @ RemoteOffice] ppp secret> print detail
Флаги: X — отключено
0 имя = «ex» service = pptp caller-id = «» пароль = «lkjrht» профиль = по умолчанию
local-address = 10.150.1.254 удаленный адрес = 10.150.1.2 маршруты == ””

[admin @ RemoteOffice] ppp secret>

Затем пользователя нужно добавить в список серверов PPTP:

[admin @ RemoteOffice] интерфейс pptp-server> add name = FromLaptop user = ex
[admin @ RemoteOffice] interface pptp-server> print
Flags: X — disabled, D — dynamic, R — running
# NAME USER MTU CLIENT -АДРЕС UPTIME ENC…
0 FromLaptop ex
[admin @ RemoteOffice] интерфейс pptp-server>

И сервер должен быть включен:

[admin @ RemoteOffice] интерфейс pptp-server server> set enabled = yes
[admin @ RemoteOffice] interface pptp-server server> print
enabled: yes
mtu: 1460
mru: 1460
аутентификация: mschap2
default-profile: по умолчанию
[admin @ RemoteOffice] интерфейс pptp-server server>

Наконец, APR прокси должен быть включен в интерфейсе «Office»:

[admin @ RemoteOffice] interface ethernet> set Office arp = proxy-arp
[admin @ RemoteOffice] interface ethernet> print
Флаги: X — отключен, R — запущен
# NAME MTU MAC-ADDRESS ARP
0 R ToInternet 1500 00 : 30: 4F: 0B: 7B: C1 включен
1 R Office 1500 00: 30: 4F: 06: 62: 12 proxy-arp
[admin @ RemoteOffice] interface ethernet>

Menyukai ini:

Suka Memuat…

Настройка частного доступа в Интернет L2TP / IPSEC

Я использую частный доступ в Интернет много лет. Скорости, как правило, хорошие на нескольких серверах, поддержка Linux хорошая, и вы даже можете настроить и запустить VPN с разных маршрутизаторов, включая Mikrotik.

Ниже приведены мои скриншоты конфигурации и winbox для подключения одного IP-адреса к PIA L2TP / IPsec VPN. Не могу сказать, есть ли что-то более оптимальное, но приведенное ниже работает.

Очевидно, вам понадобится учетная запись для частного доступа в Интернет, и вы можете выбрать любую из сетей, показанных на странице их сетей.Вам также потребуются имя пользователя PPTP / L2TP / SOCKS и пароль , которые отличаются от входа в систему / настольного / мобильного приложения VPN. Имена пользователей и пароли PPTP / L2TP / Socks начинаются с «x0» вместо «p0», насколько я понимаю. Вы можете получить это из своей панели управления при входе на веб-сайт.

Конфигурация L2TP

 / интерфейс l2tp-client
добавить connect-to = SERVER.privateinternetaccess.com disabled = no ipsec-secret = mysafety name = pia-out password = PASSWORD use-ipsec = yes user = USERNAME
 

Конфигурация IPsec

Предложение
 / ip ipsec
установить [найти по умолчанию = да] pfs-group = none 

IP Firewall NAT Config

 / IP брандмауэр нат
добавить действие = маскарадная цепочка = srcnat out-interface = pia-out
 

Конфигурация блокировки межсетевого экрана IP

 / ip firewall mangle
add action = mark-routing chain = prerouting new-routing-mark = PIA passthrough = yes \
    SRC-адрес = 192.168.88.123 

Конфигурация IP-маршрута

 / ip маршрут
добавить расстояние = 1 шлюз = маркер маршрутизации pia-out = PIA 

Скриншоты

Конфигурация L2TP

Конфигурация IPsec

IP Firewall NAT Config


Конфигурация блокировки межсетевого экрана IP


Конфигурация IP-маршрута

Недавно мне пришлось перестроить свой PIA VPN из-за перехода на новый маршрутизатор, MikroTik hAP AC, и я не мог заставить его работать по памяти или какому-то случайному руководству, которое я нашел в Интернете, поэтому мне пришлось восстановить старую конфигурацию.Я подумал, что это будет полезно и для некоторых других.

Дайте мне знать о любых критических замечаниях, рекомендациях или вопросах.

Статьи по теме:

Как настроить VPN в Mikrotik Router для удаленного доступа

Как настроить VPN в Mikrotik Router для удаленного доступа

Mikrotik — один из наиболее часто используемых маршрутизаторов и беспроводных продуктов среди интернет-провайдеров и сетевых компаний благодаря отмеченной наградами RouterOS. Если вы используете маршрутизатор MikroTik в нескольких местах и ​​у вас нет общедоступного IP-адреса для удаленного доступа и управления из централизованного места.Это простая конфигурация для настройки VPN-сервера в маршрутизаторе MikroTik. Mikrotik Router поддерживает несколько типов VPN-сервисов, таких как PPTP VPN, которые используют порт PPTP, L2TP VPN, межсайтовый VPN и MikroTik IPsec VPN.

Все типы VPN могут использоваться для создания виртуального сетевого туннеля между более чем одной частной сетью. Лучшее в microtik RouterOS — это как защищенная, так и стабильная сеть.

Однако VPN (виртуальная частная сеть) поможет вам получить удаленный доступ к маршрутизатору Mikrotik CCR без общедоступных IP-адресов с помощью VPN-клиента.Вы можете настроить VPN на любой маршрутизаторе MikroTik Routerboard для удаленного доступа из другого места.

Войдите в MikroTik Router для настройки VPN

Для настройки VPN на плате маршрутизатора Mikrotik необходимо получить доступ к маршрутизатору через winbox или через Интернет.

Подключите роутер Mikrotik через порт LAN и откройте в утилите настройки Winbox.

Использовать имя пользователя MikroTik по умолчанию admin и пароль по умолчанию MikroTik не требуется, оставив поле пароля пустым. Если вы используете настроенное устройство MikroTik, используйте пароль, который вы настроили ранее, для входа в систему.

Включить VPN на плате маршрутизатора MikroTik

Чтобы настроить VPN на устройстве Mikrotik, сначала включите VPN и установите пароль VPN.

Перейдите к опции «Быстрые настройки», как показано на рисунке ниже.

Найдите настройки VPN под опцией «Локальная сеть».

Отметьте VPN Access Option, чтобы включить его.

Пользователь VPN: VPN (имя пользователя по умолчанию)

Адрес VPN: Отображается автоматически.

Пароль VPN: создать пароль VPN.

После настройки доступа VPN теперь создайте настройки профиля и добавьте DNS и шлюз.

Перейдите к параметру PPP и щелкните вкладку Profile, как показано на рисунке ниже.

1: Теперь дважды щелкните одно шифрование по умолчанию.

2: Локальный адрес: 192.168.89.1 (этот адрес настраивается автоматически при включении VPN)

Удаленный адрес: будет настроен автоматически.

3: DNS-сервер: дать MikroTik LAN IP-адрес DNS.

4: Нажмите кнопку «Применить» и «ОК», чтобы завершить настройку.

Настройка MikroTik VPN для удаленного доступа к маршрутизатору завершает тестирование конфигурации VPN.

Создание клиентского подключения VPN в Windows 10

Если вы используете Windows 10 или Windows 8.1, вы можете напрямую создать VPN-соединение, используя опцию VPN-клиента.

Просто откройте меню «Пуск» и выполните поиск по VPN.

Нажмите на VPN

«Добавить соединение VPN»

Создать новое VPN-соединение

VPN-провайдер: Windows (встроенный)

Имя подключения: укажите имя VPN-подключения

Имя или адрес сервера: укажите IP-адрес WAN маршрутизатора Mikrotik, у которого вы настроили VPN.

Тип VPN: Автоматический

Тип информации для входа: имя пользователя и пароль

Имя пользователя: VPN

Пароль: (используйте пароль, установленный для пароля VPN)

Щелкните кнопку Сохранить.

Подключить VPN-подключение из Windows 10

Щелкните VPN-соединение и нажмите кнопку Connect, чтобы набрать VPN.

Дождитесь подключения VPN к VPN-туннелю Mikrotik Router.

Успешная аутентификация покажет статус подключения в имени VPN-подключения.

См. Изображение ниже для справки.

Теперь вы можете получить доступ к своему MikroTik CCR RB3011 или любому маршрутизатору облачного ядра MikroTik, а также к другому устройству, используя конфигурацию VPN-сервера.

Если вы используете старую Windows, вы можете настроить OpenVPN в MikroTik или также можете использовать клиентское программное обеспечение OpenVPN для доступа к сети Mikrotik VPN из разных сетей.

Связанное сообщение

Mikrotik Router PPTP Конфигурация VPN-сервера удаленного доступа








Протокол туннелирования точка-точка — это метод реализации виртуальной частной сети.PPTP использовал канал управления через TCP и GRE и заключал пакет ppp. PPTP имеет много типов установки ключей безопасности.

Конфигурация базового IP-адреса:

IP-адрес> добавить адрес = 103.7.248.206 интерфейс = ОБЩЕСТВЕННЫЙ IP-адрес> добавить адрес = 192.168.1.1 интерфейс = ЛОКАЛЬНЫЙ / пул ip> добавить имя = диапазоны VPNPOOL = 192.168.1.2-192.168.1254

Конфигурация NAT:

добавить цепочку = srcnat action = маскировать out-interface = PUBLIC

Конфигурация профиля PPP:

добавить name = «VPN» local-address = 192.168.1.1 удаленный-адрес = VPNPOOL use-mpls = по умолчанию использование-сжатие = по умолчанию use-vj-compress = default use-encryption = default only-one = default change-tcp-mss = default dns-server = 8.8.8.8,4.4.4.4

Конфигурация сервера PPPTP:

добавить отключено = нет имени = VPN / интерфейс pptp-server server> установить включено = да аутентификация = mschap1, mschap2

Создание пользователя PPTP:

/ ppp secret> добавить имя = test1 service = pptp пароль = 123 удаленный адрес = 192.168.1.20 локальный-адрес = 192.168.1.1 [admin @ Mikrotik] / IP-адрес> распечатать Флаги: X — отключено, I — недопустимо, D — динамическое. # ИНТЕРФЕЙС АДРЕСНОЙ СЕТИ 0 103.7.248.206/29 103.7.248.200 ОБЩЕСТВЕННАЯ 1 192.168.1.1/24 192.168.1.0 ЛОКАЛЬНЫЙ [admin @ Mikrotik] / ip pool> печать # ДИАПАЗОН ИМЕНИ 0 VPNPOOL 192.168.1.2-192.168.1.254 [admin @ Mikrotik] / ip firewall nat> печать Флаги: X — отключено, I — недопустимо, D — динамическое. 0 цепочка = srcnat action = маскарад out-interface = PUBLIC [admin @ Mikrotik] / профиль ppp> распечатать 0 * name = «default» use-mpls = default use-compress = default use-vj-compress = default use-encryption = default only-one = изменение по умолчанию-tcp-mss = да 1 name = «VPN» local-address = 192.168.1.1 remote-address = VPNPOOL use-mpls = по умолчанию использование-сжатие = по умолчанию use-vj-compress = default use-encryption = default only-one = default change-tcp-mss = default dns-server = 8.8.8.8,4.4.4.4 2 * name = «default-encryption» use-mpls = default-encryption = default use-vj-compress = default use-encryption = yes only-one = изменение по умолчанию-tcp-mss = да

[админ @ Mikrotik] / интерфейс pptp-server> печать Флаги: X — отключен, D — динамический, R — запущен. # ИМЯ ПОЛЬЗОВАТЕЛЬ MTU КОДИРОВАНИЕ ВРЕМЕНИ АДРЕСА КЛИЕНТА 0 VPN

[admin @ Mikrotik] / интерфейс pptp-server server> печать включен: да макс. MTU: 1460 max-mru: 1460 mrru: отключен аутентификация: mschap1, mschap2 профиль по умолчанию: шифрование по умолчанию [admin @ Mikrotik] / ppp secret> распечатать # ИМЯ СЕРВИС ИДЕНТИФИКАТОР АБОНЕНТА ПАРОЛЬ ПРОФИЛЬ УДАЛЕННЫЙ АДРЕС 0 тест pptp 123 по умолчанию 192.168.1.2 [admin @ Mikrotik] / ip route> печать Флаги: X — отключен, A — активен, D — динамический, C — подключиться, S — статический, r — rip, b — bgp, o — ospf, m — mme, B — черная дыра, U — недоступен, P — запретить # DST-ADDRESS PREF-SRC GATEWAY DISTANCE 0 S 0.0.0.0/0 103.7.248.201 1

1 АЦП 103.7.248.200/29 103.7.248.206 ОБЩЕСТВЕННЫЙ 0

2 АЦП 192.168.1.0/24 192.168.1.1 ЛОКАЛЬНЫЙ 0

Для PPTP применяются правила брандмауэра :

/ IP фильтр межсетевого экрана

add action = accept chain = input disabled = no dst-port = 1723 protocol = tcp

добавить действие = принять цепочку = ввод отключен = нет протокола = gre

Убедитесь, что эти правила превышают любые общие правила ЗАПРЕТЕНИЯ.

.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *