Разное

Порты для vpn pptp: PPTP [АйТи бубен]

Содержание

PPTP [АйТи бубен]

PPTP (Point-to-Point Tunneling Protocol) — туннельный протокол типа точка-точка, позволяющий компьютеру устанавливать защищённое соединение с сервером за счёт создания специального туннеля в стандартной, незащищённой сети. PPTP помещает (инкапсулирует) кадры PPP в IP-пакеты для передачи по глобальной IP-сети, например Интернет. PPTP может также использоваться для организации туннеля между двумя локальными сетями.

Спецификация протокола была опубликована как «информационная» RFC 2637 в 1999 году. Она не была ратифицирована IETF. Протокол считается менее безопасным, чем IPSec — протокол защиты сетевого трафика на IP-уровне.

PPTP работает, устанавливая обычную Протокол PPP сессию с противоположной стороной с помощью протокола GRE туннели по 47 порту. Второе соединение на TCP-порту 1723 используется для инициации и управления GRE-соединением. PPTP сложно перенаправлять за сетевой экран, так как он требует одновременного установления двух сетевых сессий.

PPTP-трафик может быть зашифрован с помощью MPPE. Для аутентификации клиентов могут использоваться различные механизмы, наиболее безопасные из них — MS-CHAPv2 и EAP-TLS.
Протокол PPTP нельзя считать приемлемым, с точки зрения информационной безопасности, как минимум, без принятия дополнительных мер по обеспечению информационной безопасности каналов связи, либо без применения дополнительных средств защиты информации (например — дополнительного шифрования). Т.о. PPTP не следует применять в общедоступных сетях (Интернет, частные(домашние) сети) для обеспечения конфиденциальности и-или сохранности коммерческой тайны (и особенно — для сохранности государственной тайны).

PPTP — Поддержка встроена в Windows.

Пожалуйста, обратите внимание, что PPTP VPN сервис использует для своей работы порт TCP 1721/TCP и протокол IP GRE (номер 47). Такие пакеты должны проходить через Ваш Firewall/NAT (и соответственно, Firewall/NAT Вашего провайдера), а если по дороге до нашего сервера есть NAT, то он должен корректно обрабатывать VPN соединение в целом (как правило, это осуществляется с помощью модуля PPTP NAT helper).

Cisco первой реализовала PPTP и позже лицензировала эту технологию корпорации Microsoft.
PPTP удалось добиться популярности благодаря тому что это первый протокол тоннелирования, поддерживаемый корпорацией Microsoft. Все версии Microsoft Windows, начиная с Windows 95 OSR2, включают в свой состав PPTP-клиент, однако существует ограничение на два одновременных исходящих соединения. А сервис удалённого доступа для Microsoft Windows включает в себя PPTP сервер.

До недавнего времени в Linux-дистрибутивах отсутствовала полная поддержка PPTP из-за опасения патентных претензий по поводу протокола MPPE. Впервые полная поддержка MPPE появилась в Linux 2.6.13. Официально поддержка PPTP была начата с версии ядра Linux 2.6.14. Тем не менее, сам факт применения MPPE в PPTP фактически не обеспечивает безопасность протокола PPTP.
Операционная система FreeBSD поддерживает PPTP протокол, используя в качестве сервера PPTP порт MPD 5 настройка (/usr/ports/net/mpd), используя подсистему netgraph. В качестве клиента PPTP в системе FreeBSD может выступать либо порт pptpclient (/usr/ports/net/pptpclient), либо порт mpd, работающий в режиме клиента.
Mac OS X поставляется со встроенным PPTP клиентом. Cisco и Efficient Networks продают реализации PPTP клиента для более старых версий Mac OS. КПК Palm, имеющие поддержку Wi-Fi, поставляются с PPTP клиентом Mergic.

Как подключить VPN, если доступ в интернет ограничен?

Подключение может быть затруднено, если есть сильные ограничения на доступные порты либо работа фильтрующего оборудования, программ. Каждая ситуация требует отдельного разбора. Вы можете обратиться к нашей техподдержке, описав подробно ситуацию, и получить рекомендацию по её решению.

Расскажем про наиболее популярные ситуации:

Недоступны некоторые порты

В случае ограничения портов VPN по-прежнему может успешно подключиться. Мы используем несколько протоколов, они работают на разных портах:

  • OpenVPN TCP: 443 порт, он же порт SSL/HTTPS. Чаще всего именно им удаётся подключиться при ограниченности остальных портов.
  • OpenVPN UDP: 1194 порт;
  • OpenVPN UDP на серверах в России: 5004 порт, он же RTP. Меньше вероятность блокировки.
  • OpenVPN TCP/TUN: 995 порт. Используется по умолчанию в Android-клиенте.
  • IKEv2: 500 порт UDP для стандартного подключения, 4500 порт UDP в случае NAT;
  • PPTP: GRE с использованием 1723 порта.
  • L2TP: 1701 порт при использовании без шифрования,
  • L2TP/IPSec: 500 порт для стандартного соединения, 4500 порт в случае NAT-traversal.

Выберите протокол исходя из того, какие порты доступны в вашей сети. Общим правилом будет начать с OpenVPN TCP, а также OpenVPN UDP при подключении к серверам в России. Если эти подключения не прошли, попробуйте PPTP/L2TP.

Фильтрация по признакам VPN

Для предотвращения фильтрации по признакам VPN, а именно по заголовкам в момент подключения, используйте функцию «Хамелеон» доступную в нашем приложении для Windows и Android.

В приложении для Windows опция включается в Настройках, вкладка Общее, поставить галочку «Хамелеон» и обязательно выбрать «Тип подключения: OpenVPN TCP».

В приложении для Android опция находится в Настройках, Дополнительно.

Работа интернета через прокси

VPN умеет работать через прокси. Воспользуйтесь инструкцией «Как подключиться к VPN через прокси».

Уже используется VPN для работы интернета

Два надёжных варианта решения:

  • Вынести VPN вашего интернет-провайдера на роутер.
  • Использовать виртуальную машину для запуска на ней VPN.
  • Конфликтующие с VPN программы

Некоторые интернет-провайдеры пытаются ограничить возможность использования VPN клиентами. Если это реализуется с помощью специальных программ, устанавливаемых на компьютер якобы «для работы интернета», с этим можно бороться несколькими способами:

  • Настроить интернет-подключение без специальных программ либо вынести настройки на роутер.
  • Использовать виртуальную машину для запуска на ней VPN.

Написать в службу поддержки

Была ли статья полезна?

Спасибо за отзыв!

Уточните, почему:

Расскажите, что вам не понравилось в статье:

Расскажите, что вам не понравилось в статье:

Полезные ссылки

Как открыть порт vpn pptp. PPTP соединение – что это такое и безопасно ли его использовать? Базовые правила подключения PPTP

PPTP
(Point-to-Point Tunneling Protocol) — туннельный протокол типа точка-точка, позволяющий компьютеру устанавливать защищённое соединение с сервером за счёт создания специального туннеля в стандартной, незащищённой сети. PPTP помещает (инкапсулирует) кадры PPP в IP-пакеты для передачи по глобальной IP-сети, например Интернет. PPTP может также использоваться для организации туннеля между двумя локальными сетями.

Интерфейс также в этом случае является интерфейсом к Интернету. Также это правило принимает как действие. Если у них есть файлы на сервере на работе, этот сервер, вероятно, не является общедоступным и, безусловно, заблокирован брандмауэром. Представьте, что вы дома и понимаете, что вам нужно что-то, размещенное на сервере или веб-сайте, который находится в вашем офисе.

Удаленное подключение к вашей рабочей сети

Как мы уже упоминали ранее, пока вы работаете, у вас есть доступ к любому серверу. Но когда он по дороге домой или уже там, он не сможет ничего сделать.

Шифрование вашего интернет-браузера

Когда вы находитесь в кафе и занимаетесь серфингом в Интернете, ваш трафик может контролироваться потенциально.

Спецификация протокола была опубликована как «информационная» RFC 2637 в 1999 году. Она не была ратифицирована IETF . Протокол считается менее безопасным, чем IPSec IPsec-Tools Racoon .

PPTP работает, устанавливая обычную PPP сессию с противоположной стороной с помощью протокола GRE по 47 порту. Второе соединение на TCP-порту 1723 используется для инициации и управления GRE-соединением. PPTP сложно перенаправлять за сетевой экран
, так как он требует одновременного установления двух сетевых сессий.

Быть в любой точке мира

Предположим, вы едете в Лондон, и вы застряли в гостиничном номере на несколько часов.

Мы объясним это в этом примере.

Откройте «Системные настройки» и выберите «Сеть».

Нажмите на раскрывающееся меню конфигурации и выберите «Добавить конфигурацию».

Этот шаг является необязательным, и вы можете использовать настройки по умолчанию.

В строке меню посмотрите на значок, похожий на багажную бирку.

PPTP-трафик может быть зашифрован с помощью MPPE . Для аутентификации клиентов могут использоваться различные механизмы, наиболее безопасные из них — MS-CHAPv2 и EAP-TLS.
Протокол PPTP нельзя считать приемлемым, с точки зрения информационной безопасности, как минимум, без принятия дополнительных мер по обеспечению информационной безопасности каналов связи, либо без применения дополнительных средств защиты информации (например — дополнительного шифрования). Т.о. PPTP не следует применять в общедоступных сетях (Интернет, частные(домашние) сети) для обеспечения конфиденциальности и-или сохранности коммерческой тайны (и особенно — для сохранности государственной тайны).

Однако мы можем это изменить.

Это не рекомендуется, потому что это может сделать вашу интернет-скорость очень медленной, и вполне вероятно, что доступ к вашим серверам и принтерам в локальной сети остановится.

Возвращаясь к первоначальному примеру, если вы находитесь в Великобритании и нуждаетесь в доступе к сайту, который доступен только в Соединенных Штатах, включив этот параметр, у вас будет доступ к этому сайту.

PPTP — Поддержка встроена в Windows.

Пожалуйста, обратите внимание, что PPTP VPN сервис использует для своей работы порт TCP 1721/TCP и протокол IP GRE (номер 47). Такие пакеты должны проходить через Ваш Firewall/NAT (и соответственно, Firewall/NAT Вашего провайдера), а если по дороге до нашего сервера есть NAT, то он должен корректно обрабатывать VPN соединение в целом (как правило, это осуществляется с помощью модуля PPTP NAT helper).

Хотя трафик зашифрован, убедитесь, что вы идете на репутацию компании, а не на компанию, которая выглядит очень хорошо, чтобы быть правдой.

Ваше интернет-соединение будет безопасным, и если у вас есть временная капсула или облачное хранилище, вы также сможете получить к ним доступ.

Стоит ли использовать сторонние утилиты?

Дайте нам знать в комментариях! Будьте первыми, кто узнает новейшие переводы — следуйте.

  • Быстро.
  • Встроенный клиент практически на всех платформах.
  • Простота настройки.

Поэтому при использовании с брандмауэром может потребоваться маршрутизация портов.

Реализация PPTP

Cisco первой реализовала PPTP и позже лицензировала эту технологию корпорации Microsoft.
PPTP удалось добиться популярности благодаря тому что это первый протокол тоннелирования, поддерживаемый корпорацией Microsoft. Все версии Microsoft Windows, начиная с Windows 95 OSR2, включают в свой состав PPTP-клиент, однако существует ограничение на два одновременных исходящих соединения. А сервис удалённого доступа для Microsoft Windows включает в себя PPTP сервер.

  • В целом считается безопасным.
  • Доступен на всех современных устройствах и операционных системах.

Обычно считается безопасным, но он также имеет некоторые известные недостатки. Это просто потому, что у него нет известных недостатков, настолько, что правительство Соединенных Штатов и его ведомств даже приняло меры для защиты «конфиденциальных» данных.

Длина ключа кодирования

Вам не только нужно загружать и устанавливать клиент, но и другие дополнительные файлы конфигурации, необходимые для настроек и которые мы должны анализировать. Поскольку он является открытым исходным кодом, вы можете легко исследовать любой секретный вход. Поддержка настольных компьютеров замечательная, но для мобильных устройств требуется улучшение.

  • Он обладает способностью преодолевать большинство брандмауэров.
  • Многие параметры конфигурации.
  • Он поддерживает несколько алгоритмов шифрования.
  • Очень безопасный.
  • Это может быть немного сложно настроить.
  • Необходимы сторонние программы.
  • Уровень безопасности зависит от шифрования, но в целом он безопасен.

Самый грубый способ определения времени, необходимого для разрыва шифрования, известен как длина ключа, которые представляют собой простые числа, состоящие из единиц и нулей, используемых в шифровании.

До недавнего времени в Linux-дистрибутивах отсутствовала полная поддержка PPTP из-за опасения патентных претензий по поводу протокола MPPE. Впервые полная поддержка MPPE появилась в Linux 2.6.13. Официально поддержка PPTP была начата с версии ядра Linux 2.6.14. Тем не менее, сам факт применения MPPE в PPTP фактически не обеспечивает безопасность протокола PPTP.
Операционная система FreeBSD поддерживает PPTP протокол, используя в качестве сервера PPTP порт MPD (/usr/ports/net/mpd), используя подсистему netgraph. В качестве клиента PPTP в системе FreeBSD может выступать либо порт pptpclient (/usr/ports/net/pptpclient), либо порт mpd, работающий в режиме клиента.
Mac OS X поставляется со встроенным PPTP клиентом. Cisco и Efficient Networks продают реализации PPTP клиента для более старых версий Mac OS . КПК Palm, имеющие поддержку Wi-Fi, поставляются с PPTP клиентом Mergic.

Точно так же исчерпывающий поиск ключа является наиболее грубой формой атаки на шифрование, где все возможные комбинации проверяются до нахождения правильного. Самые высокие уровни используются для аутентификации данных и взаимного вызова, но означает ли это, что 256-битное кодирование лучше, чем 128-битное шифрование?

Ну, чтобы найти правильный ответ, давайте поместим некоторые цифры в перспективе. До появления новых откровений Эдварда Сноудена было широко распространено мнение, что 128-битное кодирование невозможно разбить силой и останется таковым еще сто лет и более.

VPN-туннели — распространенный вид связи типа «точка-точка» на основе стандартного интернет-соединения через роутеры MikroTik. Они представляют собой, по сути «канал внутри канала» — выделенную линию внутри основной.

Национальный институт стандартов и технологий США

Шифрование — это математические алгоритмы, используемые во время шифрования, поскольку слабые алгоритмы уязвимы для хакеров и позволяют им легко разбить шифрование. Однако есть основания полагать, что это доверие может быть неправильным. Насколько это зависит от этих стандартов, эксперты в области криптографии не желают сталкиваться с этой проблемой.

Что дает соединение PPTP

После дешифрования все прошлые и будущие обмены будут скомпрометированы с помощью постоянного частного ключа для декодирования всех данных. Однако есть хорошие новости. Поскольку для каждого обмена создается новый ключ, поэтому он не дает сертификатам возможность установить доверие.

Необходимость настройки туннельного VPN-соединения на MikroTik возникает в случаях, когда:

  • Требуется предоставить доступ к корпоративной сети

    сотрудникам предприятия
    , которые работают из дома, или находясь в командировке, в том числе с мобильных устройств.
  • Требуется предоставить доступ в интернет абонентам провайдера
    (в последнее время такая реализация доступа клиентов становится все более популярной).
  • Необходимо соединить два удаленных подразделения предприятия
    защищенным каналом связи с минимальными затратами.

В отличие от обычной сети, где данные передаются открыто и в незашифрованном виде, VPN является защищенным каналом связи. Уровень защиты зависит от типа туннельного протокола, выбранного для соединения.
Так, наименее защищенным считается протокол PPtP, даже его «верхний» алгоритм аутентификации mschap2 имеет ряд проблем безопасности и легко взламывается. Наиболее безопасным считается набор протоколов IPsec.

Даже если кто-то получил секретный ключ сертификата, декодирование сообщения было бы просто невозможно. Итак, что вы должны убрать из этой статьи? Это просто! Если есть что-то, что вы хотели бы задать нам, которого нет в списке, свяжитесь с нами. Начните выбирать подходящий вам пакет, а также количество месяцев, в течение которых вы хотите, чтобы ваш пакет оставался активным.

Как обновить и изменить свою учетную запись?

Войдите в систему с помощью нашей панели управления, доступ к которой вы можете получить в правом верхнем углу нашего веб-сайта. Вы можете узнать, сколько дней ваша учетная запись будет активна с панели управления. Если вы хотите, вы можете продлить это время. Все, что вам нужно сделать, это выбрать количество дней, в которые вы хотите продлить свою учетную запись, затем откроется страница нашего платежного процессора, позволяющая сделать безопасный платеж.

Несмотря на укоряющую картинку, иногда смысл в отключении шифрования и аутентификации все же есть. Многие модели MikroTik не поддерживают аппаратное шифрование, и обработка всех процессов, связанных с защитой соединения происходит на уровне CPU.
Если безопасность соединения не является для вас критичным моментом, а производительность используемого роутера оставляет желать лучшего, то отключение шифрования можно использовать для разгрузки процессора.

Какие операционные системы поддерживаются?

У вас всегда есть возможность обновить или понизить свою учетную запись с нашей панели управления.

Мы поддерживаем все обычные операционные системы

Вы можете использовать свою учетную запись где угодно. На работе, дома или в путешествиях. Ваша учетная запись не ограничивается одним устройством. Единственное ограничение заключается в том, что вы можете подключить только одно устройство одновременно. Для одновременного подключения нескольких устройств вам потребуется соответствующее количество учетных записей.

Выбор протокола для VPN на MikroTik

Для настройки соединения по VPN через MikroTik чаще всего используются следующие протоколы:

В сегодняшней статье мы рассмотрим настройку подключения VPN с помощью двух из них, как наиболее часто встречающихся в работе провайдера и системного администратора: PPtP и PPPoE. Продолжение темы — в следующих статьях.

У меня действительно анонимный просмотр?

Таким образом, ваши цифровые следы никогда не могут быть связаны с вашим физическим лицом.

Мы не храним дорожные записи

Единственная информация, которую мы храним, — это ваше имя пользователя и адрес электронной почты. Это всегда актуально для наших серверов в Швеции. Данные трафика, которые вы генерируете, всегда будут анонимными. Поскольку мы шифруем весь трафик, который вы генерируете, в принципе для вашего интернет-провайдера и вашего работодателя невозможно увидеть, что вы делаете в Интернете.

VPN через PPtP на MikroTik

PPtP — самый распространенный протокол VPN. Представляет собой связку протокола TCP, который используется для передачи данных, и GRE — для инкапсуляции пакетов. Чаще всего применяется для удаленного доступа пользователей к корпоративной сети. В принципе, может использоваться для многих задач VPN, однако следует учитывать его изъяны в безопасности.

Мы не можем передавать данные третьим лицам

У вас будет возможность увидеть веб-страницы, которые вы посетили. Что касается наших шведских серверов, а также серверов в других странах, в которых мы не сохраняем наши данные о трафике, мы не можем доставлять данные, которые, например, могли бы связывать определенного пользователя с определенной деятельностью в данный момент времени, просто потому, что у нас нет таких данных. Другими словами, это не решение, которое мы делаем в каждом случае, когда оно запрашивается. В странах, где хранятся записи, мы обязаны предоставлять информацию в соответствии с соответствующими законами каждой страны.

Прост в настройке. Для организации туннеля требуется:

    создать на роутере MikroTik, через который пользователи будут подключаться к корпоративной сети, PPtP-сервер,

    создать профили пользователей с логинами/паролями для идентификации на стороне сервера,

    создать правила-исключения Firewall маршрутизатора, для того, чтобы подключения беспрепятственно проходили через брандмауер.

    Несколько физических и логических сетей

    Спрос на виртуальные сети очень высок в сегодняшнем глобальном мире, поскольку компании и организации имеют офисы в разных географических точках, а пользователи распространяются по всему миру. У агрессивных маркетинговых компаний или репрессивных правительств нет возможности следить за вашей деятельностью.

    Создание и настройка параметров VPN

    В других случаях компании ограничивают использование своих сайтов, и некоторые функции предоставляются только определенным географическим регионам. Поэтому, даже если кто-то перехватывает ваше сообщение, невозможно будет расшифровать, с кем вы общаетесь, и содержимое информации, которую вы обмениваете в Интернете. Вот почему шифрование трафика имеет важное значение, когда вы делаете онлайн-платежи и используете кредитные карты, или когда у вас есть частные сообщения с третьими лицами.

Включаем PPtP сервер.

Для этого идем в раздел меню PPP
, заходим на вкладку Interface
, вверху в перечне вкладок находим PPTP сервер
и ставим галочку в пункте Enabled.

Снимаем галочки с наименее безопасных алгоритмов идентификации — pap и chap.

Создаем пользователей.

В разделе
PPP
переходим в меню
Secrets
и с помощью кнопки »
+
» добавляем нового пользователя.

В полях Name
и Password
прописываем, соответственно логин и пароль, который будет использовать пользователь для подключения к туннелю.

В поле Service
выбираем тип нашего протокола — pptp, в поле Local Address
пишем IP-адрес роутера MikroTik, который будет выступать в роли VPN-сервера, а в поле Remote Address — IP-адрес пользователя

Прописываем правила для

Firewall.

Нам нужно открыть 1723 порт для трафика по TCP-протоколу для работы VPN-туннеля MikroTik, а также разрешить протокол GRE. Для этого идем в раздел IP,
потом — в Firewall
, потом на вкладку Filter Rules
, где с помощью кнопки «+» добавляем новое правило. В поле Chain
указываем входящий трафик — input
, в поле Protocol
выбираем протокол tcp
, а в поле Dst. Port
— указываем порт для VPN туннеля 1723
.

Переходим здесь же на вкладку Action
и выбираем accept
— разрешать (трафик).

Точно также добавляем правило для GRE. На вкладке General
аналогично предыдущему прописываем input, а в поле Protocol
выбираем gre.

На вкладке Action
как и в предыдущем правиле выбираем
accept.

Не забываем поднять эти правила в общем списке наверх, поставив ПЕРЕД запрещающими правилами, иначе они не будут работать. В RouterOS Mikrotik это можно сделать перетаскиванием правил в окне FireWall.

Все, PPtP сервер для VPN на MikroTik поднят.

Небольшое уточнение.

В некоторых случаях, когда при подключении необходимо видеть локальную сеть за маршрутизатором
, нужно включить proxy-arp в настройках локальной сети. Для этого идем в раздел интерфейсов (Interface), находим интерфейс, соответствующий локальной сети и на вкладке General
в поле ARP
выбираем proxy-arp
.

Если вы подняли VPN между двумя роутерами MikroTik и вам необходимо разрешить передачу broadcast, можно попробовать добавить существующий профиль подключения (PPP — Profiles) удаленного роутера в бридж главного:

UPD из комментария:
Если вам дополнительно нужно получить доступ к расшаренным папкам на компьютерах локальной сети, понадобится также открыть порт 445 для проходящего трафика SMB-протокола, который отвечает за Windows Shared. (Правило forward в брандмауере).

Настройка клиента

.

На стороне VPN-клиента настройки состоят только в том, чтобы создать подключение по VPN, указать IP-адрес VPN (PPtP) сервера, логин и пароль пользователя.

VPN через
PPPoE на MikroTik

Своей распространенностью в последнее время VPN по протоколу PPPOE обязан провайдерам, предоставляющим широкополосный, в т. ч. беспроводной доступ в интернет. Протокол предполагает возможность сжатия данных, шифрования, а также характеризуется:

    Доступностью и простотой настройки.

    Поддержкой большинством маршрутизаторов MikroTik.

    Стабильностью.

    Масштабируемостью.

    Устойчивостью зашифрованного трафика к ARP-спуфингу (сетевой атаке, использующей уязвимости протокола ARP).

    Меньшей ресурсоемкостью и нагрузкой на сервер, чем PPtP.

Также его преимуществом является возможность использования динамических IP-адресов: не нужно назначать определенный IP конечным узлам VPN-туннеля. Подключение со стороны клиента осуществляется без сложных настроек, только по логину и паролю.

Настройка VPN-сервера PPPoE MikroTik

Настраиваем профили сервера.

Несколько профилей PPPoE-сервера могут понадобиться, если вы провайдер и раздаете интернет по нескольким тарифным пакетам. Соответственно, в каждом профиле можно настроить разные ограничения по скорости.

Идем в раздел
PPP
, открываем пункт
Profiles
и с помощью кнопки »
+
» создаем новый профиль. Даем ему понятное нам название, прописываем локальный адрес сервера (роутера), отмечаем опцию
Change TCP MSS
(корректировку MSS), для того, чтобы все сайты нормально открывались.

Кстати, в некоторых случаях, когда возникают проблемы с открытием некоторых сайтов, при том, что пинги на них проходят, можно сделать по-другому. Корректировку MSS отключаем, а через терминал прописываем на роутере следующее правило:

«ip firewall mangle
add chain=forward
protocol=tcp tcp-flags=syn tcp-mss=1453-65535 action=change-mss new-mss=1360 disabled=no». В большинстве случаев это решает проблему.

Далее на вкладке
Protocols
все отключаем, для улучшения производительности. Если защищенность соединения для вас важна и производительность маршрутизатора позволяет, то опцию
Use Encryption
(использовать шифрование) не отключайте.

На вкладке
Limits
устанавливаем ограничения по скорости, если нужно. Первая цифра в ограничении скорости — входящий трафик на сервер (исходящий от абонента), вторая — наш исходящий трафик (входящий у абонента).

Ставим
Yes
в пункте
Only One
, это значит, что два и более абонентов с одним и тем же набором логин/пароль не смогут подключиться к PPPoE-серверу, только один.

Теперь, если необходимо, создаем остальные профили простым копированием (кнопка
Copy
на предыдущем скриншоте) и меняем имя и ограничение по скорости.

Создаем учетные записи пользователей

.

В том же разделе
PPP
находим пункт меню
Secrets
. В нем с помощью кнопки «+» создаем нового пользователя, который будет подключаться к нам по VPN-туннелю.

Заполняем поля Name и Password (логин и пароль, который будет вводить пользователь со своей стороны, чтобы подключиться).

В поле
Service
выбираем
pppoe
, в
Profile
— соответствующий профиль, в данном случае — тарифный пакет, которым пользуется абонент. Присваиваем пользователю IP-адрес, который при подключении сервер раздаст абоненту.

Если подключаем несколько пользователей, создаем для каждого из них отдельную учетную запись, меняя имя/пароль и IP-адрес.

Привязываем PPPoE сервер к определенному интерфейсу MikroTik.

Теперь нам необходимо сообщить маршрутизатору, на каком интерфейсе он должен «слушать» входящие подключения от VPN PPPoE клиентов. Для этого в разделе PPP мы выбираем пункт PPPoE Servers. Здесь мы меняем:

Поле Interface — выбираем тот интерфейс, к которому будут подключаться клиенты,

  • Keepalive Timeout — 30 секунд (время ожидания ответа от клиента до разрыва соединения)
  • Default Profile — профиль, который будет присваиваться подключаемым абонентам по умолчанию,
  • Ставим галку в One Session Per Host, тем самым разрешая подключение только одного туннеля с маршрутизатора клиента или компьютера.
  • Галочки в разделе аутентификации оставляем/снимаем по усмотрению.

Настраиваем NAT для доступа клиентов в интернет.

Мы подняли PPPoE сервер и теперь к нему могут подключаться авторизованные пользователи. Если нам нужно, чтобы подсоединившиеся по VPN туннелю пользователи имели доступ в интернет, нужно настроить NAT (маскарадинг), или преобразование локальных сетевых адресов.

В разделе IP
выбираем пункт Firewall
и с помощью кнопки «+» добавляем новое правило.

В поле Chain
должно стоять srcnat
, что означает, что маршрутизатор будет применять это правило к трафику, направленному «изнутри наружу».

В поле Src. Address
(исходный адрес) прописываем диапазон адресов 10.1.0.0/16
. Это означает, что все клиенты с адресами 10.1. (0.0-255.255) будут выходить в сеть через NAT, т. е. мы перечисляем здесь всех возможных абонентов.

В поле
Dst. Address
(адрес назначения) указываем
!10.0.0.0/8
— диапазон адресов, означающий собственное адресное пространство для частных сетей, с восклицательным знаком впереди. Это указывает роутеру на исключение — если кто-то из локальной сети обращается на адрес в нашей же сети, то NAT не применяется, соединение происходит напрямую.

А на вкладке Action
прописываем, собственно, действие маскарадинга — подмены локального адреса устройства на внешний адрес роутера.

Настройка VPN-клиента PPPoE

Если на той стороне VPN туннеля подключение будет происходить с компьютера или ноутбука, то просто нужно будет создать высокоскоростное подключение через PPPoE в Центре управления сетями и общим доступом (для Win 7, Win 8). Если на второй стороне — тоже роутер Mikrotik, то подключаем следующим образом.

Добавляем PPPoE интерфейс.

На вкладке Interface
выбираем PPPoE Client и с помощью кнопки «+» добавляем новый интерфейс.

Здесь в поле
Interface
мы выбираем тот интерфейс роутера Mikrotik, на котором мы организуем VPN-туннель.

Прописываем настройки подключения.

Ставим галочку в поле Use Peer DNS
— для того, чтобы адрес DNS сервера мы получали с сервера VPN (от провайдера), а не прописывали вручную.

Настройки аутентификации (галочки в pap, chap, mschap1, mschap2) должны быть согласованы с сервером.

По какому порту работает vpn windows. Соединение PPTP: что это

Руководство по решению проблем: прокладываем VPN через брандмауэры NAT

Популярность телекоммуникаций продолжает возрастать, при этом вопросы защиты информации не теряют свою актуальность. Поэтому маленькие и большие компании используют виртуальные частные сети (VPN). К счастью, информационные отделы компаний осознают, что многие сотрудники подключены по выделенным линиям и широкополосным соединениям с использованием маршрутизаторов потребительского уровня. ИТ-отделы могут намного облегчить жизнь пользователей, применяя «дружественные к NAT» шлюзы VPN и клиентов VPN, которые не требуют внесения изменений в конфигурацию домашних маршрутизаторов для установки туннеля VPN.

Если же вам не так повезло, вы всё-таки можете исправить ситуацию. Во-первых, следует проверить, поддерживает ли ваш маршрутизатор функцию сквозного прохождения PPTP или IPSEC PPTP/IPsec «pass through.»
Подобная функция повсеместно встречается в маршрутизаторах Linksys
, так что можете поискать эти модели. На Рис. 1
показана нижняя часть экрана фильтров
Linksys BEFSR41, которая содержит опции для раздельного включения сквозного прохождения PPTP или IPsec.

Рис. 1. Сквозное прохождение VPN Linksys BEFSR41.

Всё, что вам нужно, — включить поддержку используемого VPN протокола, перезагрузить маршрутизатор. Если всё пройдёт нормально, то ваша VPN сразу же заработает.

К сожалению, функцией включения сквозного прохождения VPN обладают не все маршрутизаторы, однако отсутствие этих опций отнюдь не означает, что всё кончено.

Не работает? Тогда следует попытаться открыть некоторые порты в брандмауэре вашего маршрутизатора для поддержки VPN-соединения. Вам следует открывать порты (и протокол) только для IP-адреса компьютера, на котором будет работать клиент VPN. Имейте в виду, что функция перенаправления портов работает только с одним компьютером одновременно
. Если вам необходимо обеспечить поддержку нескольких клиентов VPN, которые требуют одновременной работы в сети, ваш маршрутизатор должен изначально поддерживать используемый VPN протокол.

Если вы используете протокол Microsoft PPTP
, то необходимо настроить перенаправление порта TCP 1723
для прохождения трафика PPTP. На Рис. 2
показан экран Перенаправление/ Forwarding
маршрутизатора Linksys BEFSR41, где выставлено перенаправление порта на клиента с IP-адресом 192.168.5.100
.

Рис. 2. Перенаправление портов VPN Linksys BEFSR41.

PPTP также требует поддержку протокола IP 47
(Generic Routing Encapsulation) для прохождения трафика VPN. Имейте в виду, что необходима поддержка протокола
, а не порта. Поддержка этого протокола должна быть встроена в «движок» NAT, как это и сделано на большинстве современных маршрутизаторов.

Открываем брандмауэр, продолжение

Для поддержки VPN на базе IPsec
VPNs необходимо открыть порт UDP 500
для переговоров ключа ISAKMP
, протокол IP 50
для трафика Authentication Header
(используется не всегда), и протокол IP 51
для передачи самих данных. И вновь единственный перенаправляемый порт здесь UDP 500, который мы тоже запрограммировали на Рис. 2
к той же клиентской машине в локальной сети; поддержка протоколов 50 и 51 должна быть встроена в ваш маршрутизатор.

Не все маршрутизаторы одинаковы! Некоторые поддерживают открытие только одного туннеля VPN и единственного клиента. Другие поддерживают несколько туннелей, но только одного клиента на туннель. К сожалению, большинство производителей не слишком ясно указывают в документации способ поддержки сквозного прохождения VPN своих продуктов, да и служба технической поддержки часто не обладает должной квалификацией для решения этого вопроса. В большинстве случаев вам придётся протестировать маршрутизатор в вашей сети и вернуть его, если он не заработает.

Не работает?

Заставить некоторые маршрутизаторы поддерживать VPN на базе IPsec без шаманской пляски с бубном бывает практически невозможно. Дело в том, что производители любят реализовывать свои собственные механизмы этой поддержки. Впрочем, по мере «взросления» технологии, поддержка IPsec становится всё более близкой к идеалу, и ваша компания может использовать старые продукты, которые создавались вообще без всякого учёта существования NAT или которые требуют открытия дополнительных портов в брандмауэре.

Если вы знаете английский, то мы рекомендуем ознакомиться с руководствами Тина Бёрда по IPsec
и PPTP
, которые содержат готовые конфигурации для многих продуктов. Также вы можете заглянуть и в нашу англоязычную секцию VPN Links & Tools
, где приведена дополнительная информация.

VPN-туннели — распространенный вид связи типа «точка-точка» на основе стандартного интернет-соединения через роутеры MikroTik. Они представляют собой, по сути «канал внутри канала» — выделенную линию внутри основной.

Необходимость настройки туннельного VPN-соединения на MikroTik возникает в случаях, когда:

  • Требуется предоставить доступ к корпоративной сети

    сотрудникам предприятия
    , которые работают из дома, или находясь в командировке, в том числе с мобильных устройств.
  • Требуется предоставить доступ в интернет абонентам провайдера
    (в последнее время такая реализация доступа клиентов становится все более популярной).
  • Необходимо соединить два удаленных подразделения предприятия
    защищенным каналом связи с минимальными затратами.

В отличие от обычной сети, где данные передаются открыто и в незашифрованном виде, VPN является защищенным каналом связи. Уровень защиты зависит от типа туннельного протокола, выбранного для соединения.
Так, наименее защищенным считается протокол PPtP, даже его «верхний» алгоритм аутентификации mschap2 имеет ряд проблем безопасности и легко взламывается. Наиболее безопасным считается набор протоколов IPsec.

Несмотря на укоряющую картинку, иногда смысл в отключении шифрования и аутентификации все же есть. Многие модели MikroTik не поддерживают аппаратное шифрование, и обработка всех процессов, связанных с защитой соединения происходит на уровне CPU.
Если безопасность соединения не является для вас критичным моментом, а производительность используемого роутера оставляет желать лучшего, то отключение шифрования можно использовать для разгрузки процессора.

Выбор протокола для VPN на MikroTik

Для настройки соединения по VPN через MikroTik чаще всего используются следующие протоколы:

В сегодняшней статье мы рассмотрим настройку подключения VPN с помощью двух из них, как наиболее часто встречающихся в работе провайдера и системного администратора: PPtP и PPPoE. Продолжение темы — в следующих статьях.

VPN через PPtP на MikroTik

PPtP — самый распространенный протокол VPN. Представляет собой связку протокола TCP, который используется для передачи данных, и GRE — для инкапсуляции пакетов. Чаще всего применяется для удаленного доступа пользователей к корпоративной сети. В принципе, может использоваться для многих задач VPN, однако следует учитывать его изъяны в безопасности.

Прост в настройке. Для организации туннеля требуется:

    создать на роутере MikroTik, через который пользователи будут подключаться к корпоративной сети, PPtP-сервер,

    создать профили пользователей с логинами/паролями для идентификации на стороне сервера,

    создать правила-исключения Firewall маршрутизатора, для того, чтобы подключения беспрепятственно проходили через брандмауер.

Включаем PPtP сервер.

Для этого идем в раздел меню PPP
, заходим на вкладку Interface
, вверху в перечне вкладок находим PPTP сервер
и ставим галочку в пункте Enabled.

Снимаем галочки с наименее безопасных алгоритмов идентификации — pap и chap.

Создаем пользователей.

В разделе
PPP
переходим в меню
Secrets
и с помощью кнопки »
+
» добавляем нового пользователя.

В полях Name
и Password
прописываем, соответственно логин и пароль, который будет использовать пользователь для подключения к туннелю.

В поле Service
выбираем тип нашего протокола — pptp, в поле Local Address
пишем IP-адрес роутера MikroTik, который будет выступать в роли VPN-сервера, а в поле Remote Address — IP-адрес пользователя

Прописываем правила для

Firewall.

Нам нужно открыть 1723 порт для трафика по TCP-протоколу для работы VPN-туннеля MikroTik, а также разрешить протокол GRE. Для этого идем в раздел IP,
потом — в Firewall
, потом на вкладку Filter Rules
, где с помощью кнопки «+» добавляем новое правило. В поле Chain
указываем входящий трафик — input
, в поле Protocol
выбираем протокол tcp
, а в поле Dst. Port
— указываем порт для VPN туннеля 1723
.

Переходим здесь же на вкладку Action
и выбираем accept
— разрешать (трафик).

Точно также добавляем правило для GRE. На вкладке General
аналогично предыдущему прописываем input, а в поле Protocol
выбираем gre.

На вкладке Action
как и в предыдущем правиле выбираем
accept.

Не забываем поднять эти правила в общем списке наверх, поставив ПЕРЕД запрещающими правилами, иначе они не будут работать. В RouterOS Mikrotik это можно сделать перетаскиванием правил в окне FireWall.

Все, PPtP сервер для VPN на MikroTik поднят.

Небольшое уточнение.

В некоторых случаях, когда при подключении необходимо видеть локальную сеть за маршрутизатором
, нужно включить proxy-arp в настройках локальной сети. Для этого идем в раздел интерфейсов (Interface), находим интерфейс, соответствующий локальной сети и на вкладке General
в поле ARP
выбираем proxy-arp
.

Если вы подняли VPN между двумя роутерами MikroTik и вам необходимо разрешить передачу broadcast, можно попробовать добавить существующий профиль подключения (PPP — Profiles) удаленного роутера в бридж главного:

UPD из комментария:
Если вам дополнительно нужно получить доступ к расшаренным папкам на компьютерах локальной сети, понадобится также открыть порт 445 для проходящего трафика SMB-протокола, который отвечает за Windows Shared. (Правило forward в брандмауере).

Настройка клиента

.

На стороне VPN-клиента настройки состоят только в том, чтобы создать подключение по VPN, указать IP-адрес VPN (PPtP) сервера, логин и пароль пользователя.

VPN через
PPPoE на MikroTik

Своей распространенностью в последнее время VPN по протоколу PPPOE обязан провайдерам, предоставляющим широкополосный, в т. ч. беспроводной доступ в интернет. Протокол предполагает возможность сжатия данных, шифрования, а также характеризуется:

    Доступностью и простотой настройки.

    Поддержкой большинством маршрутизаторов MikroTik.

    Стабильностью.

    Масштабируемостью.

    Устойчивостью зашифрованного трафика к ARP-спуфингу (сетевой атаке, использующей уязвимости протокола ARP).

    Меньшей ресурсоемкостью и нагрузкой на сервер, чем PPtP.

Также его преимуществом является возможность использования динамических IP-адресов: не нужно назначать определенный IP конечным узлам VPN-туннеля. Подключение со стороны клиента осуществляется без сложных настроек, только по логину и паролю.

Настройка VPN-сервера PPPoE MikroTik

Настраиваем профили сервера.

Несколько профилей PPPoE-сервера могут понадобиться, если вы провайдер и раздаете интернет по нескольким тарифным пакетам. Соответственно, в каждом профиле можно настроить разные ограничения по скорости.

Идем в раздел
PPP
, открываем пункт
Profiles
и с помощью кнопки »
+
» создаем новый профиль. Даем ему понятное нам название, прописываем локальный адрес сервера (роутера), отмечаем опцию
Change TCP MSS
(корректировку MSS), для того, чтобы все сайты нормально открывались.

Кстати, в некоторых случаях, когда возникают проблемы с открытием некоторых сайтов, при том, что пинги на них проходят, можно сделать по-другому. Корректировку MSS отключаем, а через терминал прописываем на роутере следующее правило:

«ip firewall mangle
add chain=forward
protocol=tcp tcp-flags=syn tcp-mss=1453-65535 action=change-mss new-mss=1360 disabled=no». В большинстве случаев это решает проблему.

Далее на вкладке
Protocols
все отключаем, для улучшения производительности. Если защищенность соединения для вас важна и производительность маршрутизатора позволяет, то опцию
Use Encryption
(использовать шифрование) не отключайте.

На вкладке
Limits
устанавливаем ограничения по скорости, если нужно. Первая цифра в ограничении скорости — входящий трафик на сервер (исходящий от абонента), вторая — наш исходящий трафик (входящий у абонента).

Ставим
Yes
в пункте
Only One
, это значит, что два и более абонентов с одним и тем же набором логин/пароль не смогут подключиться к PPPoE-серверу, только один.

Теперь, если необходимо, создаем остальные профили простым копированием (кнопка
Copy
на предыдущем скриншоте) и меняем имя и ограничение по скорости.

Создаем учетные записи пользователей

.

В том же разделе
PPP
находим пункт меню
Secrets
. В нем с помощью кнопки «+» создаем нового пользователя, который будет подключаться к нам по VPN-туннелю.

Заполняем поля Name и Password (логин и пароль, который будет вводить пользователь со своей стороны, чтобы подключиться).

В поле
Service
выбираем
pppoe
, в
Profile
— соответствующий профиль, в данном случае — тарифный пакет, которым пользуется абонент. Присваиваем пользователю IP-адрес, который при подключении сервер раздаст абоненту.

Если подключаем несколько пользователей, создаем для каждого из них отдельную учетную запись, меняя имя/пароль и IP-адрес.

Привязываем PPPoE сервер к определенному интерфейсу MikroTik.

Теперь нам необходимо сообщить маршрутизатору, на каком интерфейсе он должен «слушать» входящие подключения от VPN PPPoE клиентов. Для этого в разделе PPP мы выбираем пункт PPPoE Servers. Здесь мы меняем:

Поле Interface — выбираем тот интерфейс, к которому будут подключаться клиенты,

  • Keepalive Timeout — 30 секунд (время ожидания ответа от клиента до разрыва соединения)
  • Default Profile — профиль, который будет присваиваться подключаемым абонентам по умолчанию,
  • Ставим галку в One Session Per Host, тем самым разрешая подключение только одного туннеля с маршрутизатора клиента или компьютера.
  • Галочки в разделе аутентификации оставляем/снимаем по усмотрению.

Настраиваем NAT для доступа клиентов в интернет.

Мы подняли PPPoE сервер и теперь к нему могут подключаться авторизованные пользователи. Если нам нужно, чтобы подсоединившиеся по VPN туннелю пользователи имели доступ в интернет, нужно настроить NAT (маскарадинг), или преобразование локальных сетевых адресов.

В разделе IP
выбираем пункт Firewall
и с помощью кнопки «+» добавляем новое правило.

В поле Chain
должно стоять srcnat
, что означает, что маршрутизатор будет применять это правило к трафику, направленному «изнутри наружу».

В поле Src. Address
(исходный адрес) прописываем диапазон адресов 10.1.0.0/16
. Это означает, что все клиенты с адресами 10.1. (0.0-255.255) будут выходить в сеть через NAT, т. е. мы перечисляем здесь всех возможных абонентов.

В поле
Dst. Address
(адрес назначения) указываем
!10. 0.0.0/8
— диапазон адресов, означающий собственное адресное пространство для частных сетей, с восклицательным знаком впереди. Это указывает роутеру на исключение — если кто-то из локальной сети обращается на адрес в нашей же сети, то NAT не применяется, соединение происходит напрямую.

А на вкладке Action
прописываем, собственно, действие маскарадинга — подмены локального адреса устройства на внешний адрес роутера.

Настройка VPN-клиента PPPoE

Если на той стороне VPN туннеля подключение будет происходить с компьютера или ноутбука, то просто нужно будет создать высокоскоростное подключение через PPPoE в Центре управления сетями и общим доступом (для Win 7, Win 8). Если на второй стороне — тоже роутер Mikrotik, то подключаем следующим образом.

Добавляем PPPoE интерфейс.

На вкладке Interface
выбираем PPPoE Client и с помощью кнопки «+» добавляем новый интерфейс.

Здесь в поле
Interface
мы выбираем тот интерфейс роутера Mikrotik, на котором мы организуем VPN-туннель.

Прописываем настройки подключения.

Ставим галочку в поле Use Peer DNS
— для того, чтобы адрес DNS сервера мы получали с сервера VPN (от провайдера), а не прописывали вручную.

Настройки аутентификации (галочки в pap, chap, mschap1, mschap2) должны быть согласованы с сервером.

PPTP
(англ. Point-to-point tunneling protocol) — туннельный протокол типа точка-точка, позволяющий компьютеру устанавливать защищённое соединение с сервером за счёт создания специального туннеля в стандартной, незащищённой, сети. PPTP помещает (инкапсулирует) кадры PPP в IP-пакеты для передачи по глобальной IP-сети, например Интернет. PPTP может также использоваться для организации туннеля между двумя локальными сетями. РРТР использует дополнительное TCP-соединение для обслуживания туннеля.

Спецификация

Спецификация протокола была опубликована как «информационный» RFC 2637 в 1999 году. Она не была ратифицирована IETF. Протокол считается менее безопасным, чем другие VPN-протоколы, например, IPSec. PPTP работает, устанавливая обычную PPP сессию с противоположной стороной с помощью протокола Generic Routing Encapsulation. Второе соединение на TCP-порте 1723 используется для инициации и управления GRE-соединением. PPTP сложно перенаправлять за сетевой экран, так как он требует одновременного установления двух сетевых сессий.

PPTP-трафик может быть зашифрован с помощью MPPE. Для аутентификации клиентов могут использоваться различные механизмы, наиболее безопасные из них — MSCHAP-v2 и EAP-TLS.

Реализация PPTP

Cisco первой реализовала PPTP и позже лицензировала эту технологию корпорации Microsoft.

PPTP удалось добиться популярности благодаря тому что это первый VPN протокол, поддерживаемый корпорацией Microsoft. Все версии Microsoft Windows, начиная с Windows 95 OSR2, включают в свой состав PPTP-клиент, однако существует ограничение на два одновременных исходящих соединения. А сервис удалённого доступа для Microsoft Windows включает в себя PPTP сервер.

До недавнего времени в Linux-дистрибутивах отсутствовала полная поддержка PPTP из-за опасения патентных претензий по поводу протокола MPPE. Впервые полная поддержка MPPE появилась в Linux 2.6.13. Официально поддержка PPTP была начата с версии ядра Linux 2.6.14.

Операционная система FreeBSD поддерживает PPTP протокол, используя в качестве сервера PPTP порт mpd (/usr/ports/net/mpd), используя подсистему netgraph. В качестве клиента PPTP в системе FreeBSD может выступать либо порт pptpclient (/usr/ports/net/pptpclient), либо порт mpd, работающий в режиме клиента.

Mac OS X поставляется со встроенным PPTP клиентом. Cisco и Efficient Networks продают реализации PPTP клиента для более старых версий Mac OS. КПК Palm, имеющие поддержку Wi-Fi, поставляются с PPTP клиентом Mergic.

Microsoft Windows Mobile 2003 и более новые также поддерживают PPTP.

Пожалуйста, обратите внимание, что PPTP VPN сервис использует для своей работы порт TCP 1721/TCP и протокол IP GRE (номер 47). Такие пакеты должны проходить через Ваш Firewall/NAT (и соответственно, Firewall/NAT Вашего провайдера), а если по дороге до нашего сервера есть NAT, то он должен корректно обрабатывать VPN соединение в целом (как правило, это осуществляется с помощью модуля PPTP NAT helper).

Наши сервера поддерживают PPTP VPN c MPPE (Microsoft Point-to-Point Encryption) шифрованием и MPPC сжатием.

,
и как его можно использовать? На сегодняшний день немногие современные пользователи знает что это.

Более того, некоторые пользователи, используя его, подчас даже не подозревают, что являются активными его пользователями.

А узнают о его существовании просто случайно, не задаваясь даже целью понять что это, и чем оно так полезно.

Введение в теорию PPTP

Название подключения или соединения PPTP происходит от имени протокола, на основе какового и построено такое подключение. Полная расшифровка его англоязычной аббревиатуры звучит как point to point tunneling protocol. Что, по сути, означает туннельный протокол от точки к точке.

Точками в этом случае обозначены пара абонентов, которые связываются путем передачи данных зашифрованных в пакеты и передающихся посредством незащищенных сетей, построенных по принципам TCP/IP. Для кого-то такое определение покажется чересчур сложным, но это всего лишь вершина айсберга.

Если рассматривать соединение PPTP более подробно, окажется, что оно позволяет преобразовывать кадры PPP в IP-пакеты привычного типа. А именно они передаются по каналу связи, например, по интернету или другой проводной, а также беспроводной сети.

Важно, что PPTP сложно назвать идеальным, и в ряде случаев, этот способ проигрывает в сравнении с другими моделями типа IPSec, поскольку имеет меньший уровень безопасности. Впрочем, это не мешает его использовать повсюду и достаточно широко. От такого не стоит отказываться, и сейчас рассмотрим почему.

рис. 1 – Схематическое изображение PPTP соединения

Что дает соединение PPTP

Несмотря на некоторые огрехи в безопасности, соединение PPTP позволяет обеспечить базовую защиту данных и поэтому такой протокол имеет широкую сферу применения. В частности, его можно с успехом использовать для осуществления дальних звонков с ощутимой экономией.

Происходит это потому как этот протокол не требует прямого соединения между двумя абонентами. Оно производится по защищенной линии в интернете, которая и называется туннелем. Что касается туннеля, то он используется исключительно в роли посредника.

В то же время PPTP с успехом применяется при формировании клиент-серверных соединений. В этом случае соединение происходит несколько иначе. Абонент, т. е. пользователь подключает свой терминал – рабочее устройство к серверу посредством того же защищенного канала.

Базовые правила подключения PPTP

Но прежде чем начать работу с подключением PPTP, его следует настроить и соблюсти несколько важных условий. К особенностям настройки используемого туннелирования стоит отнести следующее:

  • порт TCP № 1723;
  • порт IP GRE №

При этом чтобы данные настройки работали соответствующим образом параметры встроенного брандмауэра (или сетевого экрана) не должны ограничивать поток IP-пакетов. Их отправка и прием должна быть свободной. Впрочем, даже если эти правила будут соблюдены при настройке подключения локально, не факт, что PPTP будет работать корректно.

Важно: Для правильной работы протокола провайдер должен обеспечить полную свободу пересылки туннелированных данных.

Детализация процесса подключения

Упомянутые выше точки соединяются посредством PPP-сессии, которая формируется на платформе протокола GRE. Его аббревиатура расшифровывается как Generic Routing Encapsulation. За его менеджмент и инициализацию несет ответственность второе подключение порта TCP.

Информация в форме пакета IPX который передается от точки к точке называется полезной нагрузкой, а дополняется он управляющей информацией. Когда этот пакет попадает на другой конец линии специальное приложение извлекает содержащиеся в нем данные, после чего они отправляются на постобработку. Постобработку производятся встроенными средствами системы соответственно указанному протоколу.

Стоит отметить, что взлом данных возможен только в процессе получения. В остальном безопасность обеспечивается за счет туннеля — защитного коридорах. Поэтому важно использовать хорошо продуманную комбинацию логина и пароля, которые и отвечают за безопасность в процессе отправки/получения данных, а не в процессе пересылки.

Пример настройки параметров PPTP в OS MS WINDOWS 7

Чтобы понять все тонкости PPTP-соединения стоит попытаться самостоятельно провести настройки такого подключения. Мы рассмотрим, как этот процесс происходит в системе , в частности, в популярной седьмой ее версии. Сделать это несложно следуя нашим рекомендациям.

Изначально потребуется запустить Панель управления
. Произвести это проще всего из меню Пуск
. В ней понадобится выбрать категорию Центр управления сетями
.

Попасть туда можно и минуя описанную цепочку. В таком случае следует выбрать из контекстного меню, вызванного сетевому подключению, тот же пункт. Найти его можно в области уведомлений, расположенной справа в нижней части экрана.

После запуска Центра управления можно будет вносить изменения в свойства сетевого адаптера. С этой целью понадобится в левой области окна выбрать команду Изменение параметров сетевого адаптера
. Затем можно вызывать пункт Свойства из контекстного меню для имеющегося локального подключения.

Далее в открывшемся диалоге понадобится установить данные протокола TCP/IPv4, полученные от провайдера связи. При этом большая часть провайдеров позволяет устанавливать адреса на рабочих станциях для DNS и IP серверов в автоматическом режиме. После ввода данных их потребуется сохранить.

По завершении внесения изменений в настройки понадобится активизировать подключение. С этой целью в основном окне Центра управления нужно выделить настроенное ранее подключение и вызвать для него меню правой кнопкой мыши. В нем следует выбрать пункт Включить
.

PPTP VPN — что это?

PPTP (англ. Point-to-point tunneling protocol) — туннельный протокол типа точка-точка, позволяющий компьютеру устанавливать защищённое соединение с сервером за счёт создания специального туннеля в стандартной, незащищённой, сети. PPTP помещает (инкапсулирует) кадры PPP в IP-пакеты для передачи по глобальной IP-сети, например Интернет. PPTP может также использоваться для организации туннеля между двумя локальными сетями. РРТР использует дополнительное TCP-соединение для обслуживания туннеля.

Спецификация

Спецификация протокола была опубликована как «информационный» RFC 2637 в 1999 году. Она не была ратифицирована IETF. Протокол считается менее безопасным, чем другие VPN-протоколы, например, IPSec. PPTP работает, устанавливая обычную PPP сессию с противоположной стороной с помощью протокола Generic Routing Encapsulation. Второе соединение на TCP-порте 1723 используется для инициации и управления GRE-соединением. PPTP сложно перенаправлять за сетевой экран, так как он требует одновременного установления двух сетевых сессий.

PPTP-трафик может быть зашифрован с помощью MPPE. Для аутентификации клиентов могут использоваться различные механизмы, наиболее безопасные из них — MSCHAP-v2 и EAP-TLS.

Реализация PPTP

Cisco первой реализовала PPTP и позже лицензировала эту технологию корпорации Microsoft.

PPTP удалось добиться популярности благодаря тому что это первый VPN протокол, поддерживаемый корпорацией Microsoft. Все версии Microsoft Windows, начиная с Windows 95 OSR2, включают в свой состав PPTP-клиент, однако существует ограничение на два одновременных исходящих соединения. А сервис удалённого доступа для Microsoft Windows включает в себя PPTP сервер.

До недавнего времени в Linux-дистрибутивах отсутствовала полная поддержка PPTP из-за опасения патентных претензий по поводу протокола MPPE. Впервые полная поддержка MPPE появилась в Linux 2.6.13. Официально поддержка PPTP была начата с версии ядра Linux 2.6.14.

Операционная система FreeBSD поддерживает PPTP протокол, используя в качестве сервера PPTP порт mpd (/usr/ports/net/mpd), используя подсистему netgraph. В качестве клиента PPTP в системе FreeBSD может выступать либо порт pptpclient (/usr/ports/net/pptpclient), либо порт mpd, работающий в режиме клиента.

Mac OS X поставляется со встроенным PPTP клиентом. Cisco и Efficient Networks продают реализации PPTP клиента для более старых версий Mac OS. КПК Palm, имеющие поддержку Wi-Fi, поставляются с PPTP клиентом Mergic.

Microsoft Windows Mobile 2003 и более новые также поддерживают PPTP.

Пожалуйста, обратите внимание, что PPTP VPN сервис использует для своей работы порт TCP 1721/TCP и протокол IP GRE (номер 47). Такие пакеты должны проходить через Ваш Firewall/NAT (и соответственно, Firewall/NAT Вашего провайдера), а если по дороге до нашего сервера есть NAT, то он должен корректно обрабатывать VPN соединение в целом (как правило, это осуществляется с помощью модуля PPTP NAT helper).

Наши сервера поддерживают PPTP VPN c MPPE (Microsoft Point-to-Point Encryption) шифрованием и MPPC сжатием.

Настройка VPN PPTP сервера Mikrotik

главная
— Статьи — Mikrotik

Дата обновления: 13.04.2021

Теги: VPN Mikrotik

Внимание! PPTP признан небезопасным, поэтому настраивайте VPN на L2TP/IPSec. Естественно, тоже на Mikrotik. Но если вас это не смущает (и для истории), продолжайте читать дальше.

Освоить MikroTik Вы можете с помощью онлайн-куса «Настройка оборудования MikroTik». Курс основан на официальной программе MTCNA. Автор курса – официальный тренер MikroTik. Подходит и тем, кто уже давно работает с микротиками, и тем, кто еще их не держал в руках. В курс входит 162 видеоурока, 45 лабораторных работ, вопросы для самопроверки и конспект.

Раз! Включаем сервер PPTP

Через веб-интерфейс открываем PPP -> PPTP Server

Ставим галку «Enabled». Жмем OK.

Два! Создаем пользователя

PPP -> Secrets -> Add new

  • Придумываем имя, пароль.
  • Service: pptp.
  • Profile: оставляем как есть, например, default.
  • Local address (ip сервера): 192.168.88.1
  • Remote address (ip пользователя): 192.168.88.2

Жмем ОК.

Три! Разрешаем PPTP в firewall

IP -> Firewall

Создаем правило input:

  • Dst-address: внешний IP нашего роутера.
  • Protocol: tcp
  • Dst-port:1723
  • In-interface: ether1-gateway
  • Action: accept

В качестве дополнительной меры (при возможности) можно указать, с каких IP разрешены подключения. Самый простой вариант: src-address, более гибкий — указать список Src. Address List. Это не всем подойдет, т.к. если вы хотите с улицы (с мобильного устройства) соединяться с вашим роутером, то список IP укзать уже не выйдет.

Все. Берем, например iPhone, Настройки -> Основные -> VPN -> Добавить конфигурацию VPN.

После ввода всего нужного (логин/пароль), включаем VPN и первым делом лезем браузером на 192.168.88.1 и проверяем доступность интерфейса роутера.

В разделе меню PPP вы можете наблюдать активность подключенных пользователей, удалять текущие активные сессии, и много чего еще.

Освоить MikroTik Вы можете с помощью онлайн-куса «Настройка оборудования MikroTik». Курс основан на официальной программе MTCNA. Автор курса – официальный тренер MikroTik. Подходит и тем, кто уже давно работает с микротиками, и тем, кто еще их не держал в руках. В курс входит 162 видеоурока, 45 лабораторных работ, вопросы для самопроверки и конспект.

Авторизуйтесь для добавления комментариев!

Вопросы (Почта)

Вопросы (Почта)


Для публикации серверов схема должна быть следующая:

Любой из серверов находится в локальной сети, IP адрес нужного
сервера будет записан в публикацию, как IP получателя.
Внутренний интерфейс прокси — сервера UserGate будет записан
в публикацию, как IP отправителя (IP отправителя
всегда находится в одном адресном пространстве с IP
получателя
).
IP приемника это IP адрес интерфейса UserGate
подключенного к Интернет.

Публикация Web сервера

Для публикации Web сервера создайте правило
перенаправляющее трафик с внешнего интерфейса машины с
UserGate на Web сервер в локальной сети, указав в качестве
порта назначения — 80 TCP (иллюстрация).

Публикация Веб — сервера

наверх

Публикация Mail сервера

Рассмотрим пример настройки и публикации
Courier Mail Server

1. Настройка Courier Mail Server

После установки почтового сервера, Вам надо сделать
предварительную настройку. Для этого откройте Courier Mail
Server
.
Создайте основной домен для работы (иллюстрация).

Настройка почтового сервера

Добавьте нового пользователя (иллюстрация).

Настройка почтового сервера

В данном случае, Имя — это название Вашего почтового ящика.

Настройте IP адреса. Укажите диапазон внутренних IP адресов, и
внешних, которые будут иметь доступ после публикации сервера:
(иллюстрация).

Настройка IP адресов
Настройка IP адресов

Укажите SMTP сервер и POP3 сервер, создайте внешний почтовый
ящик.

2. Публикация Mail Server

Для публикации Mail сервера необходимо создать два правила,
перенаправляющих трафик с внешнего интерфейса машины с
UserGate на Mail сервер в локальной сети, указав в качестве
портов назначения — 110 TCP порт и 25 TCP порт (иллюстрация).

Создание первой публикации
Создание второй публикации

Кроме того, в UserGate нужно создать пользователя, с
авторизацией по IP, соответствующего Mail серверу в локальной сети
и применить ему правила NAT для POP3 и SMTP.

3. Настройка почтового клиента

Рассмотрим настройку почтового клиента на примере TheBat.
Создайте почтовый ящик со следующими параметрами: (иллюстрация).

Настройка почтового клиента

В качестве SMTP сервера и POP3 сервера, мы указываем внешний IP
машины с UserGate, а в качестве пользователя, мы указываем
почтовый ящик, созданный на Mail сервере, в данном случае
[email protected] domain

наверх

Публикация FTP сервера

Рассмотрим пример настройки и публикации Serv —
U

1. Установка FTP сервера.

При первом запуске Serv — U предложит Вам настроить
следующие параметры:

На этом минимальная настройка Serv — U закончена.

2. Публикация FTP сервера

Для публикации FTP сервера необходимо создать правило,
перенаправляющие трафик с внешнего интерфейса машины с
UserGate на FTP сервер в локальной сети, указав в качестве
порта назначения — 21 TCP (иллюстрация).

Создание публикации

FTP_DATA соединения будут создаваться автоматически.

3. Настройка FTP клиента.

Рассмотрим пример по настройке Total Commander

Создаем новое FTP — соединение (меню FTP, выберите FTP New
Connection, или нажмите комбинацию клавиш Ctrl+N). В диалоговом
окне укажите IP адрес компьютера с Usergate, установите
режимы anonymouse connection . (иллюстрация).

Настройка FTP клиента

Публикация VPN сервера

1. Настройка VPN сервера

VPN PPTP-сервер для защищенного подключения клиентов может быть
настроен только на серверных версиях Windows 2000/2003. Он
настраивается как сервер удаленного доступа (RAS-сервер) в службе
RRAS (Маршрутизация и удаленный доступ).

2. Публикация VPN сервера.

По протоколу PPTP

Для публикации VPN сервера по протоколу PPTP, нужно создать
правило, перенаправляющее трафик с внешнего интерфейса машины с
UserGate на VPN сервер в локальной сети, указав в качестве
порта назначения — 1723 TCP порт. (иллюстрация).

Создание нового ресурса

Кроме того, в UserGate нужно создать пользователя, с
авторизацией по IP, соответствующего VPN серверу в локальной сети и
применить ему правило NAT для VPN.

По протоколу L2tp

Для публикации VPN сервера по протоколу L2tp, необходимо создать
два правила, перенаправляющих трафик с внешнего интерфейса машины с
UserGate на VPN сервер в локальной сети, указав в качестве
портов назначения — 500 UDP порт и 4500 UDP порт (иллюстрация).

Создание первой публикации
Создание второй публикации

В UserGate нужно создать пользователя, с авторизацией по
IP, соответствующего VPN серверу в локальной сети и применить ему
правило NAT для VPN.

По умолчанию Windows XP с пакетом обновления 2 (SP2) не
поддерживает подключений IPsec NAT-T к серверам, расположенным за
устройством преобразования сетевых адресов. Таким образом, клиент
VPN под управлением Windows XP с пакетом обновления 2 (SP2) не
сможет установить подключение L2TP/IPsec к серверу VPN за
устройством преобразования сетевых адресов. Это утверждение
справедливо и для сервера VPN под управлением Windows Server 2003.
Эту проблему можно решить с помощью создания ключа в реестре.

Для создания и настройки параметра реестра
AssumeUDPEncapsulationContextOnSendRule выполните следующие
действия:

  • Выберите в меню Пуск пункт Выполнить, введите
    команду regedit и нажмите кнопку OK.
  • Найдите и выделите следующий раздел реестра:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPSec
  • В меню Правка выберите пункт Создать, а затем —
    Параметр DWORD.
  • В поле «Новый параметр #1» введите
    AssumeUDPEncapsulationContextOnSendRule и нажмите клавишу
    ВВОД.
  • Щелкните параметр
    AssumeUDPEncapsulationContextOnSendRule правой кнопкой мыши
    и выберите команду Изменить.
  • В поле Значение введите одно из следующих значений:

    1. 0 — (указано по умолчанию) Windows не поддерживает
    подключений к серверам, расположенным за устройством преобразования
    сетевых адресов
    2. 1 — Windows поддерживает подключения к серверам,
    расположенным за устройством преобразования сетевых адресов.
    3. 2 — Windows поддерживает подключение, если и сервер, и
    клиентский компьютер под управлением Windows XP с пакетом
    обновления 2 (SP2) расположены за устройством преобразования
    сетевых адресов.

  • Нажмите кнопку ОК и закройте редактор реестра.
  • Перезагрузите компьютер.

наверх


Что такое PPTP: протокол туннелирования точка-точка

Туннельный протокол точка-точка — это сетевой протокол, который в основном используется на компьютерах Windows. В настоящее время он считается устаревшим для использования в виртуальных частных сетях из-за многих известных недостатков безопасности. Тем не менее PPTP все еще используется в некоторых сетях.

Getty Images / lvcandy

Краткая история PPTP

PPTP — это протокол сетевого туннелирования, который был разработан в 1999 году консорциумом поставщиков, состоящим из Microsoft, Ascend Communications (сегодня входит в состав Nokia), 3Com и других групп.PPTP был разработан для улучшения своего предшественника Point-to-Point Protocol, протокола уровня канала передачи данных (Layer 2), предназначенного для прямого соединения двух маршрутизаторов.

Хотя PPTP считается быстрым и стабильным протоколом для сетей Windows, он больше не считается безопасным. На смену PPTP пришли более безопасные и безопасные протоколы туннелирования VPN, включая OpenVPN, L2TP / IPSec и IKEv2 / IPSec.

Как работает PPTP

PPTP является развитием PPP и, как таковой, основан на его структуре аутентификации и шифрования.Как и все технологии туннелирования, PPTP инкапсулирует пакеты данных, создавая туннель для передачи данных через IP-сеть.

PPTP использует архитектуру клиент-сервер (техническая спецификация содержится в Internet RFC 2637), которая работает на уровне 2 модели OSI. После создания VPN-туннеля PPTP поддерживает два типа информационных потоков:

  • Управляющие сообщения для управления и, в конечном итоге, разрыва соединения VPN. Управляющие сообщения проходят напрямую между VPN-клиентом и сервером.
  • Пакеты данных , которые проходят через туннель, то есть к или от VPN-клиента.

Люди обычно получают информацию об адресе сервера PPTP VPN от администратора своего сервера. Строки подключения могут быть либо именем сервера, либо IP-адресом.

Протоколы PPTP

PPTP использует туннелирование общей инкапсуляции маршрутизации для инкапсуляции пакетов данных. Он использует TCP-порт 1723 и IP-порт 47 через протокол управления транспортом. PPTP поддерживает до 128-битных ключей шифрования и стандарты Microsoft Point-to-Point Encryption.

Режимы туннелирования: добровольный и обязательный

Протокол поддерживает два типа туннелирования:

  • Добровольное туннелирование: Тип туннелирования, инициируемый клиентом при существующем соединении с сервером.
  • Обязательное туннелирование: Тип туннелирования, инициированный сервером PPTP у поставщика услуг Интернета, который требует, чтобы сервер удаленного доступа создал туннель.

Используется ли протокол PPTP?

Несмотря на свой возраст и недостатки в системе безопасности, PPTP все еще используется в некоторых сетевых реализациях, в основном в внутренних корпоративных VPN в старых офисах.Преимущества PPTP в том, что он прост в настройке, он быстр, а поскольку он встроен на большинство платформ, вам не нужно какое-либо специальное программное обеспечение для его использования. Все, что вам нужно для настройки соединения, — это ваши учетные данные и адрес сервера.

Однако тот факт, что он прост в использовании, не означает, что следует использовать , особенно если для вас важен высокий уровень безопасности. В этом случае вам следует использовать более безопасный протокол для вашей сети VPN, такой как OpenVPN, L2TP / IPSec или IKEv2 / IPSec.

Спасибо, что сообщили нам!

Расскажите, почему!

Другой

Недостаточно подробностей

Сложно понять

Какие порты разблокировать для сквозного трафика VPN? — База знаний

Сервер Microsoft RRAS и клиент VPN поддерживают соединение VPN на основе PPTP, L2TP / IPSec, SSTP и IKEv2. Путь управления PPTP проходит через TCP, а путь данных — через GRE. Трафик туннеля L2TP передается в транспортном режиме IPSec, а внутренний протокол IPSec имеет путь управления через IKE и путь данных через ESP.Управление SSTP и путь к данным осуществляется через TCP. Путь управления IKEv2 проходит через IKE, а путь данных — через ESP.

А теперь вернемся к исходному вопросу. Есть несколько сценариев:

1) Если сервер VPN на базе RRAS находится за брандмауэром (т. Е. Между Интернетом и сервером RRAS установлен брандмауэр), то на этом брандмауэре необходимо открыть (двунаправленные) следующие порты, чтобы разрешить прохождение трафика VPN: —

  • Для PPTP:
    • IP-протокол = TCP, номер порта TCP = 1723 <- Используется путем управления PPTP
    • IP Protocol = GRE (значение 47) <- Используется путем передачи данных PPTP
  • Для L2TP:
    • Тип протокола IP = UDP, номер порта UDP = 500 <- Используется IKEv1 (путь управления IPSec)
    • Тип протокола IP = UDP, номер порта UDP = 4500 <- Используется IKEv1 (путь управления IPSec)
    • Тип протокола IP = ESP (значение 50) <- Используется путем передачи данных IPSec
  • Для SSTP:
    • IP-протокол = TCP, номер порта TCP = 443 <- используется управлением SSTP и путем передачи данных
  • Для IKEv2:
    • Тип протокола IP = UDP, номер порта UDP = 500 <- Используется IKEv2 (путь управления IPSec)
    • Тип протокола IP = UDP, Номер порта UDP = 4500 <- Используется IKEv2 (путь управления IPSec)
    • Тип протокола IP = ESP (значение 50) <- Используется путем передачи данных IPSec

2) Если сервер RRAS напрямую подключен к Интернету , то вам необходимо защитить сервер RRAS со стороны Интернета (т.е.е. разрешать доступ только к службам на общедоступном интерфейсе, доступном со стороны Интернета). Это можно сделать с помощью статических фильтров RRAS или запуска брандмауэра Windows на общедоступном интерфейсе (или на интерфейсе со стороны Интернета). В этом сценарии необходимо открыть следующие порты (двунаправленные) на блоке RRAS, чтобы разрешить VPN-трафику проходить через

.

    • Для PPTP:
      • IP-протокол = TCP, номер порта TCP = 1723 <- Используется путем управления PPTP
      • IP Protocol = GRE (значение 47) <- Используется путем передачи данных PPTP
    • Для L2TP:
      • Тип протокола IP = UDP, номер порта UDP = 500 <- Используется IKEv1 (путь управления IPSec)
      • Тип протокола IP = UDP, номер порта UDP = 4500 <- Используется IKEv1 (путь управления IPSec)
      • Тип протокола IP = UDP, номер порта UDP = 1701 <- Используется L2TP-каналом управления / данных
      • Тип протокола IP = 50 <- Используется путем передачи данных (ESP)
  • Для SSTP:
  • IP-протокол = TCP, номер порта TCP = 443 <- используется управлением SSTP и путем передачи данных
  • для IKEv2:
  • Тип протокола IP = UDP, номер порта UDP = 500 <- Используется IKEv2 (путь управления IPSec)
  • Тип протокола IP = UDP, Номер порта UDP = 4500 <- Используется IKEv2 (путь управления IPSec)
  • Тип протокола IP = UDP, номер порта UDP = 1701 <- Используется L2TP-каналом управления / данных
  • Тип протокола IP = 50 <- Используется путем передачи данных (ESP)

Примечание. НЕ настраивайте статические фильтры RRAS, если вы работаете на одном сервере с функцией маршрутизатора NAT на основе RRAS.Это связано с тем, что статические фильтры RRAS не имеют состояния, а для преобразования NAT требуется пограничный межсетевой экран с отслеживанием состояния, такой как межсетевой экран ISA.

Список номеров портов VPN, которые используют поставщики услуг VPN

Используемый порт VPN зависит от протокола VPN, используемого при установлении соединения с сервером VPN. Для установления VPN-соединения используется несколько протоколов, и каждый из них использует разные номера портов. Если вы настраиваете свою собственную систему, убедитесь, что правила брандмауэра разрешают подключения к перечисленным портам VPN:

GTP

SSTP (TCP) Путь управления и данных SSTP

9 0173 50

Протокол VPN Номер порта VPN Использование
OpenVPN (UDP) 1194 Соединения OpenVPN
OpenVPN (TCP) 443 Соединения OpenVPN
PPTP (TCP) 1723 Путь управления PPTP
путь к данным PPTP
L2TP (UDP) 500, 4500 IKEv1 (путь управления IPSec)
L2TP (ESP) 50 Путь данных IPSec
IKEv2 (UDP) 500, 4500 IKEv2 (путь управления IPSec)
IKEv2 (ESP) Путь к данным IPSec
Wireguard (UDP) 51820 Входящие соединения

Сводка:

OpenVPN номера портов TCP 1194 для установления соединений TCP 1194 для установления соединений UDP.
PPTP Порты — это 1723 TCP для создания экземпляра VPN-туннеля и номер IP-протокола 47 — GRE (Generic Routing Encapsulation).
L2TP использует порты 500 и 4500 для согласования ключей IPSec и номер протокола IP 50 — ESP (инкапсуляция данных безопасности) . Внутри шифрования IPSec L2TP использует порт 1701 UDP .
SSTP
порт — это 443 TCP для установления соединений.
Протокол IKEv2 использует порты UDP 500 и 4500 .
Wireguard прослушивающий порт — это 51820 UDP для входящих подключений.

Выберите тип Mobile VPN

Fireware поддерживает четыре типа мобильных VPN:

  • Мобильный VPN с IKEv2
  • Мобильная VPN с L2TP
  • Мобильная VPN с SSL
  • Мобильная VPN с IPSec

Firebox может поддерживать все четыре типа мобильных VPN одновременно.Вы также можете настроить клиентский компьютер для использования одного или нескольких типов мобильных VPN.

Прежде чем вы решите, какой тип Mobile VPN использовать, рассмотрите вашу текущую инфраструктуру, настройки сетевой политики и следующие детали:

Функция Mobile VPN с PPTP недоступна в Fireware v12.0 и выше. Если ваш Firebox имеет Fireware v11.12.4 или ниже, Mobile VPN с PPTP автоматически удаляется из вашей конфигурации при обновлении до Fireware v12.0 или выше. Мы рекомендуем вам перейти на другое мобильное решение VPN перед обновлением. Для получения дополнительной информации см. Как мне перейти с PPTP на L2TP перед обновлением до Fireware v12.0? в базе знаний WatchGuard. Документацию по Mobile VPN с PPTP см. В справке Fireware v11.12.x.

Безопасность

Каждый тип Mobile VPN имеет разные характеристики безопасности.

IKEv2

Mobile VPN с IKEv2 предлагает высочайший уровень безопасности.Мобильная VPN с IKEv2 включает многоуровневую безопасность, но ограничена локальной аутентификацией Firebox и RADIUS. Вместо предварительного общего ключа поддерживается проверка подлинности клиента на основе сертификатов. Для аутентификации Mobile VPN с IKEv2 использует EAP и MS-CHAPv2.

В Fireware v12.2 или выше Firebox поддерживает шифрование AES-GCM.

В Fireware v12.5 или выше Firebox поддерживает сертификаты ECDSA (EC) для Mobile VPN с IKEv2.Ваш клиент IKEv2 VPN также должен поддерживать сертификаты EC. Поддержка зависит от операционной системы. Дополнительные сведения см. В разделе Сертификаты алгоритма цифровой подписи с эллиптической кривой (ECDSA).

Mobile VPN с IKEv2 поддерживает многофакторную аутентификацию для решений MFA, которые поддерживают MS-CHAPv2.

AuthPoint — это решение WatchGuard MFA. Чтобы использовать AuthPoint для Mobile VPN с IKEv2, см .:

L2TP

Mobile VPN с L2TP предлагает высокий уровень безопасности, который включает многоуровневую безопасность.Однако параметры сервера аутентификации ограничены локальной аутентификацией Firebox и RADIUS. Клиент должен знать предварительный общий ключ.

Mobile VPN с L2TP также поддерживает аутентификацию клиента на основе сертификатов вместо предварительного общего ключа.

Mobile VPN с L2TP поддерживает многофакторную аутентификацию для решений MFA, которые поддерживают MS-CHAPv2. AuthPoint, служба WatchGuard MFA, поддерживает аутентификацию MS-CHAPv2 RADIUS.

В Fireware v12.5.3 или выше Mobile VPN с L2TP поддерживает AuthPoint для многофакторной аутентификации в Active Directory через NPS. AuthPoint — это служба WatchGuard MFA. Чтобы использовать AuthPoint с Mobile VPN с L2TP, см .:

SSL

Mobile VPN с SSL — это безопасный вариант мобильной VPN, но он менее безопасен, чем VPN на основе IPSec, потому что:

  • Не поддерживает многоуровневое шифрование
  • Для подключения злоумышленнику необходимо знать только IP-адрес Firebox и учетные данные клиента.

В Fireware v12.2 или выше Mobile VPN с SSL поддерживает AES-GCM.

Если ваш сервер RADIUS поддерживает многофакторную или двухфакторную аутентификацию, вы можете использовать многофакторную или двухфакторную аутентификацию с WatchGuard Mobile VPN с SSL.

AuthPoint — это решение WatchGuard MFA. Чтобы использовать AuthPoint для Mobile VPN с SSL, см. Firebox Mobile VPN с SSL-интеграцией с AuthPoint.

IPSec

Mobile VPN с IPSec поддерживает уровни шифрования до 256-битного AES и многоуровневое шифрование.

Вы можете использовать любой метод аутентификации, поддерживаемый Firebox.

Злоумышленнику, у которого есть учетные данные для входа, также требуется подробная информация о настройке для подключения к VPN, которая включает предварительный общий ключ.

Mobile VPN с IPSec также поддерживает аутентификацию клиента на основе сертификатов вместо предварительно выданного ключа.

Если ваш сервер RADIUS поддерживает многофакторную аутентификацию, вы можете использовать многофакторную аутентификацию с WatchGuard Mobile VPN с IPSec.

AuthPoint — это решение WatchGuard MFA. Чтобы использовать AuthPoint для Mobile VPN с IPSec, см. Firebox Mobile VPN с интеграцией IPSec с AuthPoint.

Мы рекомендуем Mobile VPN с IKEv2 в качестве альтернативы Mobile VPN с IPSec. Уязвимость IKEv1 в агрессивном режиме, описанная в CVE-2002-1623, затрагивает Mobile VPN с IPSec. Эта уязвимость не затрагивает Mobile VPN с IKEv2 или L2TP. Если вы настраиваете Mobile VPN с IPSec, мы рекомендуем вам настроить сертификат вместо предварительного общего ключа, если у вас есть сервер управления WSM. Если у вас нет Management Server, мы рекомендуем вам указать надежный предварительный общий ключ и регулярно его менять.Мы также рекомендуем указать строгий алгоритм хеширования, например SHA-256.

Простота использования

IKEv2

Mobile VPN с IKEv2 поддерживает подключения от собственных клиентов IKEv2 VPN на мобильных устройствах iOS, macOS и Windows. Пользователи Android могут настроить соединение IKEv2 VPN с помощью стороннего приложения strongSwan.

Администраторы могут загрузить файл.Сценарий конфигурации bat из Firebox для автоматической настройки профиля IKEv2 VPN в поддерживаемых операционных системах Windows. Сценарий конфигурации также автоматически устанавливает сертификат. Для получения информации о поддержке операционной системы см. Матрицу совместимости операционных систем в Примечаниях к выпуску Fireware.

Для iOS и macOS администраторы могут загрузить профиль .mobileconfig из Firebox для автоматической настройки собственного клиента IKEv2 VPN.

Для Android администраторы Firebox могут загрузить файл .sswan из Firebox для автоматической настройки приложения strongSwan.

Mobile VPN с IKEv2 отправляет весь трафик через VPN-туннель (полный туннель).

L2TP

Вы можете использовать Mobile VPN с L2TP с собственными клиентами VPN и любыми клиентами L2TPv2, которые соответствуют RFC 2661.Для подключения конечный пользователь должен указать имя пользователя и пароль, которые могут быть сохранены в некоторых клиентах VPN. Пользователи должны вручную настроить L2TP-клиент.

Маршрутизация клиентского трафика через L2TP управляется конфигурацией клиента. У клиентов обычно есть возможность направить весь клиентский трафик через туннель или направить клиентский трафик через туннель только для той же подсети / 24, что и виртуальный IP-адрес.

SSL

Для пользователей Windows и macOS клиент легко загрузить и установить.Чтобы загрузить VPN-клиент, пользователи подключаются через HTTPS к Firebox и входят в систему. После того, как пользователи загрузили клиент, им нужно только знать свои учетные данные для подключения. Как администратор, вы можете включить или отключить возможность запоминания VPN-клиентом имени пользователя и пароля.

Клиенты с другими операционными системами и мобильными устройствами могут использовать клиенты OpenVPN для подключения. Чтобы использовать клиент OpenVPN, пользователю необходим файл client.ovpn, который также легко загрузить из Firebox.

IPSec

Пользователи

Windows могут загрузить и установить клиент WatchGuard Mobile VPN, который предлагает дополнительные функции. Платная лицензия требуется после 30-дневной бесплатной пробной версии.

Для обоих клиентов необходимо предоставить клиенту файл конфигурации. Если вы используете мобильный VPN-клиент WatchGuard IPSec, вам также может потребоваться предоставить общий ключ.Мы рекомендуем вам использовать безопасный метод, например зашифрованную электронную почту, для распространения файла конфигурации.

Туннельная маршрутизация для обоих клиентов Windows может быть как широкой, так и конкретной, в зависимости от настроенных вами разрешенных ресурсов.

Для устройств macOS необходимо настроить профиль Mobile VPN в соответствии с настройками клиента на устройстве по умолчанию и настроить клиент для подключения к VPN.Для подключения клиенту требуется имя пользователя и кодовая фраза.

Информацию о том, какие операционные системы совместимы с каждым типом мобильной VPN, см. В списке совместимости операционных систем в примечаниях к выпуску Fireware . Вы можете найти примечания к выпуску для вашей версии Fireware OS на странице примечаний к выпуску Fireware на веб-сайте WatchGuard.

Переносимость

Переносимость относится к сетевым средам, из которых может подключаться VPN-клиент.

IKEv2

По умолчанию IKEv2 использует IPSec, для которого требуются порты UDP 500 и 4500 и протокол IP ESP 50. Вы не можете отключить IPSec.

L2TP

По умолчанию L2TP использует IPSec, для которого требуются порты UDP 500 и 4500 и протокол IP ESP 50.

Если вы отключите IPSec, Mobile VPN с L2TP требует только UDP-порт 1701.Этот тип конфигурации L2TP должен быть разрешен в большинстве сред, если только сеть не настроена на очень строгие ограничения. Однако эта конфигурация не обеспечивает безопасность IPSec.

Если вы отключите IPsec в Mobile VPN с конфигурацией L2TP, вы также должны отключить IPSec на клиентских устройствах. На некоторых устройствах эта процедура может быть более сложной. Для получения информации о настройках IPSec на устройстве см. Документацию производителя устройства.

SSL

Вы можете настроить Mobile VPN с SSL для использования любого порта TCP или UDP или использовать настройку по умолчанию TCP 443. Если вы используете порт UDP, вы все равно должны указать порт TCP для первоначального запроса аутентификации. Это делает Mobile VPN с SSL переносимым практически в любую среду, которая разрешает исходящий HTTPS и не расшифровывает трафик.

Хотя Mobile VPN с SSL обычно работает в большинстве сетей, он может дать сбой из-за ограничений брандмауэра:

  • Проверка содержимого — Если сетевое устройство расшифровывает трафик HTTPS, чтобы проверить его на наличие вредоносного содержимого, Mobile VPN с SSL не работает.
  • Применение протокола — Если вы включите параметр Разрешить только TLS-совместимый трафик на вашем Firebox, Mobile VPN с SSL может выйти из строя.
  • Управление приложениями — Если служба управления приложениями блокирует программное обеспечение OpenVPN с открытым исходным кодом, Mobile VPN с SSL не работает.

Вы можете настроить прокси HTTPS на Firebox, чтобы разрешить несовместимые запросы HTTPS.Дополнительные сведения о прокси-сервере HTTPS см. В разделе «Прокси-сервер HTTPS: общие настройки».

IPSec

Mobile VPN с IPSec требует, чтобы клиент имел доступ к Firebox на портах UDP 500 и 4500, а также к протоколу IP ESP 50. Это часто требует определенной конфигурации на интернет-шлюзе клиента, поэтому клиенты могут не иметь возможности подключаться из точек доступа или с мобильных устройств. Интернет-соединения.

Вы можете настроить Firebox для разрешения исходящих запросов IPSec.Чтобы узнать больше о сквозной передаче исходящего IPSec, см. О глобальных настройках VPN.

Производительность

IKEv2

Mobile VPN с IKEv2 работает лучше, чем Mobile VPN с L2TP и Mobile VPN с SSL.

L2TP

Mobile VPN с L2TP быстрее, чем Mobile VPN с SSL, но медленнее, чем Mobile VPN с IKEv2.

SSL

Mobile VPN с SSL работает медленнее, чем другие типы мобильных VPN. Это не лучший вариант для трафика, чувствительного к задержкам, такого как VoIP или передача файлов с высокой пропускной способностью. Однако вы можете улучшить Mobile VPN с помощью SSL, если выберете UDP для канала данных и шифров AES-GCM.

Пропускная способность туннеля VPN

При выборе типа VPN обязательно учитывайте количество туннелей, поддерживаемых вашим устройством.

Максимальное количество туннелей мобильных VPN IKEv2, L2TP, SSL и IPSec зависит от модели Firebox.

Вы можете увидеть максимальное количество каждого типа VPN-туннеля, поддерживаемого вашим Firebox, в функциональной клавише Firebox. Дополнительные сведения см. В разделе «Емкость туннеля VPN и лицензирование».

Поддержка аутентификации

Убедитесь, что выбранное вами решение Mobile VPN поддерживает тип используемого вами сервера аутентификации.

* Аутентификация Active Directory для IKEv2 и L2TP поддерживается только через сервер RADIUS.

Сервер RADIUS должен вернуть атрибут Filter-Id (атрибут RADIUS # 11) в своем ответе Access-Accept. Значение атрибута Filter-Id должно соответствовать имени правильной группы (SSLVPN-Users или имя группы, которую вы определяете в Mobile VPN с SSL или Mobile VPN с конфигурацией IPSec).

Прочие соображения

  • Mobile VPN с IKEv2 предлагает высочайший уровень безопасности, лучшую производительность и простое развертывание. Этот тип VPN имеет аутентификацию клиента на основе сертификата вместо общего ключа.
  • Mobile VPN с IKEv2, L2TP и IPSec работают только тогда, когда требуемые порты и протоколы разрешены в удаленных сетях.Это означает, что эти типы мобильных VPN могут работать не во всех удаленных сетях.
  • С Mobile VPN с L2TP вы можете использовать L2TP для передачи протоколов, отличных от IP.
  • Mobile VPN с IPSec — единственный тип VPN, который позволяет настраивать разные профили конфигурации VPN для разных групп пользователей.
  • Мы рекомендуем Mobile VPN с SSL, когда трафик IKEv2 IPSec не разрешен в удаленной сети или когда требуется раздельное туннелирование.

Приложение WatchGuard Mobile VPN для Android больше не доступно в магазине Google Play. Приложение WatchGuard Mobile VPN для iOS больше не доступно в Apple Store. Мы больше не поддерживаем эти устаревшие приложения.

Подробности протокола

Каждый тип мобильной VPN использует разные порты, протоколы и алгоритмы шифрования для установления соединения.Необходимые порты и протоколы должны быть открыты между мобильным устройством и Firebox для работы мобильной VPN.

Мобильный VPN с IKEv2

  • Обязательные порты: порт ESP и UDP 500; UDP-порт 500 и 4500 для NAT-T
  • Транспортные протоколы и протоколы аутентификации:
    • IKEv2 (протокол туннелирования обмена ключами в Интернете v2)
    • IPSec (безопасность интернет-протокола)
    • IKE (обмен ключами в Интернете)
    • ESP (инкапсуляция данных безопасности)
    • Аутентификация: MD5, SHA-1, SHA2-256, SHA2-384, SHA2-512
  • Протоколы шифрования: DES, 3DES, AES.AES-GCM поддерживается в Fireware v12.2 или выше.
  • Уровень шифрования:
    • DES и 3DES: 56 бит и 168 бит
    • AES: 128, 192 или 256 бит
    • AES-GCM: 128, 192 или 256 бит (Fireware v12.2 или выше)

Мобильная VPN с L2TP, с включенным IPSec

  • Обязательные порты: UDP-порт 1701, UDP 500 и ESP для IKE, UDP 500 и 4500 для NAT-T
  • Транспортные протоколы и протоколы аутентификации:
    • L2TP (протокол туннелирования уровня 2)
    • IPSec (безопасность интернет-протокола)
    • IKE (обмен ключами в Интернете)
    • ESP (инкапсуляция данных безопасности)
    • Аутентификация: MD5, SHA-1, SHA2-256, SHA2-384, SHA2-512
  • Протоколы шифрования: DES, 3DES, AES
  • Уровень шифрования:
    • DES и 3DES: 56 бит и 168 бит
    • AES: 128, 192 или 256 бит

Мобильный VPN с SSL

  • Требуемые порты:
    • TCP 443 (по умолчанию; рекомендуется)
    • UDP 53 (рекомендуется для канала данных, если целью является повышение производительности)
    • Другие порты TCP и UDP с меньшей вероятностью будут разрешены удаленными сетями
  • Транспортные протоколы и протоколы аутентификации:
    • TLS (безопасность транспортного уровня) — в Fireware v12.5.4 или выше, минимальная допустимая версия TLS для VPN-подключений — TLS 1.2. В Fireware v12.5.5 или выше ваш веб-браузер должен поддерживать TLS 1.2 или выше, чтобы загрузить клиент WatchGuard SSL VPN из Firebox.
    • Аутентификация: SHA-1, SHA-256, SHA-512
  • Протоколы шифрования:
    • AES
    • AES-GCM (Fireware v12.2 или выше)
    • 3DES
  • Уровень шифрования:
    • AES: 128, 192 или 256 бит
    • AES-GCM: 128, 192 или 256 бит (Fireware v12.2 или выше)
    • 3DES: 168 бит

Для Mobile VPN с SSL в некоторых случаях можно выбрать другой порт и протокол. Для получения дополнительной информации см. Выбор порта и протокола для Mobile VPN с SSL

.

Мобильный VPN с IPSec

  • Требуемые порты:
    • Порт UDP 500 для IKE
    • Порт UDP 4500 для обхода NAT (NAT-T)
  • Транспортные протоколы и протоколы аутентификации:
    • IPSec (безопасность интернет-протокола)
    • IKE (обмен ключами в Интернете)
    • ESP (инкапсуляция данных безопасности)
    • Аутентификация: MD5, SHA-1, SHA2-256, SHA2-384, SHA2-512
  • Протоколы шифрования: DES, 3DES, AES
  • Уровень шифрования:
    • DES и 3DES: 56 бит
    • AES: 128, 192 или 256 бит
См. Также

Мобильный VPN с IKEv2

Мобильный VPN с L2TP

О мобильной VPN с SSL

Mobile VPN с IPSec

Как мне получить входящую VPN для подключения, когда активен внутренний брандмауэр?

Поскольку внутренний VPN-сервер защищен внутренним брандмауэром, все входящие VPN-соединения блокируются.Чтобы получить доступ с помощью VPN, см. Пример ниже:

Прежде чем продолжить, проверьте, есть ли у ваших компьютеров в локальной сети доступ к Интернету, и что VPN-соединения возможны, если внутренний брандмауэр отключен.

PPTP: открытый TCP-порт 1723 (стандартный порт PPTP — требуется для доступа к VPN)

С компьютера в локальной сети откройте веб-интерфейс пользователя DSL-G804V

В Advanced — Firewall нажмите Next.

Выберите Добавить фильтр TCP / UDP

Введите Name , установите Schedule (если не уверены, используйте Always On)

Если вы хотите ограничить входящие VPN-соединения определенным диапазоном IP-адресов, введите диапазон в Исходный IP-адрес (а) с соответствующей маской сети .(оставьте значение по умолчанию = 0.0.0.0 для всех адресов)

Установить IP-адрес (а) назначения . (leavedefault = 0.0.0.0 для всех адресов)

Установите Тип на TCP.

Если вы хотите ограничить входящие VPN-соединения определенным диапазоном портов, введите диапазон в Sourceport (s). (Если не уверены, оставьте значение по умолчанию.)

Установите Порт назначения на 1723-1723. Это стандартный порт для PPTP

.

Установите для Входящий и Исходящий значение Разрешить.

Нажмите Применить.

Сохраните конфигурацию и перезапустите устройство, чтобы изменения вступили в силу!

PPTP: разрешить протокол GRE номер 47 (стандартный протокол — требуется для аутентификации VPN)

С компьютера в локальной сети откройте веб-интерфейс пользователя DSL-G804V

В Advanced — Firewall нажмите Next.

Выберите Добавить фильтр Raw IP

Введите Name , установите Schedule (если не уверены, используйте Always On)

Если вы хотите ограничить входящие VPN-соединения определенным диапазоном IP-адресов, введите диапазон в Исходный IP-адрес (а) с соответствующей маской сети .(оставьте значение по умолчанию = 0.0.0.0 для всех адресов)

Установить IP-адрес (а) назначения . (leavedefault = 0.0.0.0 для всех адресов)

Установить номер протокола с на 47

Установите для Входящий и Исходящий значение Разрешить.

Нажмите Применить.

Сохраните конфигурацию и перезапустите устройство, чтобы изменения вступили в силу!

L2TP: открытый UDP-порт 1701 (стандартный порт — требуется для доступа к VPN)

С компьютера в локальной сети откройте веб-интерфейс пользователя DSL-G804V

В Advanced — Firewall нажмите Next.

Выберите Добавить фильтр TCP / UDP

Введите Name , установите Schedule (если не уверены, используйте Always On)

Если вы хотите ограничить входящие VPN-соединения определенным диапазоном IP-адресов, введите диапазон в Исходный IP-адрес (а) с соответствующей сетевой маской (оставьте значение по умолчанию = 0.0.0.0 для всех адресов)

Установить IP-адрес (а) назначения . (leavedefault = 0.0.0.0 для всех адресов)

Установите Тип на UDP.

Если вы хотите ограничить входящие VPN-соединения определенным диапазоном портов, введите диапазон в Sourceport (s) . (Если не уверены, оставьте значение по умолчанию.)

Установите Destination port (s) to 1701-1701. Это стандартный порт для PPTP

Установите для Входящий и Исходящий значение Разрешить.

Нажмите Применить.

Сохраните конфигурацию и перезапустите устройство, чтобы изменения вступили в силу!

IPSEC: открыть порт UDP 500 (стандартный порт — требуется для доступа к VPN)

С компьютера в локальной сети откройте веб-интерфейс пользователя DSL-G804V

В Advanced — Firewall нажмите Next.

Выберите Добавить фильтр TCP / UDP

Введите Name , установите Schedule (если не уверены, используйте Always On)

Если вы хотите ограничить входящие VPN-соединения определенным диапазоном IP-адресов, введите диапазон в Исходный IP-адрес (а) с соответствующей сетевой маской (оставьте значение по умолчанию = 0.0.0.0 для всех адресов)

Установить IP-адрес (а) назначения . (leavedefault = 0.0.0.0 для всех адресов)

Установите Тип на UDP.

Если вы хотите ограничить входящие VPN-соединения определенным диапазоном портов, введите диапазон в Sourceport (s) . (Если не уверены, оставьте значение по умолчанию.)

Установите Порт назначения на 500–500. Это стандартный порт для PPTP

.

Установите для Входящий и Исходящий значение Разрешить.

Нажмите Применить.

Сохраните конфигурацию и перезапустите устройство, чтобы изменения вступили в силу!

Использование VPN через устройство безопасности MX

  1. Последнее обновление
  2. Сохранить как PDF
  1. PPTP Outbound
  2. PPTP Inbound
  3. IPsec
    1. IPsec Outbound
    2. IPsec Inbound

Устройство безопасности MX предназначено для использования в качестве конечной точки VPN, но в качестве межсетевого экрана оно также может передавать трафик через VPN. внутренняя конечная точка VPN.PPTP и IPsec — это протоколы, используемые для установления безопасного зашифрованного VPN-соединения между двумя конечными точками. В этой статье описывается, как MX обрабатывает трафик PPTP и IPsec, включая особенности и ограничения маршрутизации.

Исходящий PPTP

Транзитный протокол PPTP для исходящего трафика поддерживается устройством MX без дополнительной настройки. Исходящий трафик относится к подключению, инициированному со стороны локальной сети устройства.

PPTP Inbound

PPTP требует правила переадресации портов для общедоступного TCP-порта 1723.Входящий трафик GRE, инициированный в рамках этого диалога, также будет перенаправлен автоматически. Входящий трафик относится к соединениям, инициированным со стороны WAN устройства.

IPsec

IPsec поддерживается для исходящего трафика только тогда, когда IPsec NAT-T используется между конечными точками; MX в настоящее время не может маршрутизировать неинкапсулированный трафик ESP. IPsec использует IP-протоколы ESP или AH, а с NAT-T эти IP-протоколы инкапсулируются в дейтаграммы UDP.

IPsec Outbound

Passthrough для исходящего трафика не требует дополнительной настройки при использовании IPsec NAT-T.

IPsec Inbound

Входящий трафик для IPsec с использованием NAT-T можно настроить с использованием переадресации портов или NAT 1: 1, используя следующие номера портов:

  • UDP 500
  • UDP 1701
  • UDP 4500

Примечание : Если для этих портов используется переадресация портов, MX не сможет устанавливать соединения для функций Site-to-site VPN или клиентской VPN.

VPN не работает? Узнайте, какие порты открыть, чтобы разрешить трафик VPN.

Какие порты разблокировать для трафика VPN? Ace VPN2018-02-02T23: 45: 52-05: 00

Чтобы трафик VPN проходил через межсетевой экран маршрутизатора / компьютера, в межсетевом экране должны быть открыты определенные порты. Как правило, OpenVPN предлагает лучшую совместимость и может подключаться даже в очень ограниченных сетях, которые блокируют / подвергают цензуре веб-сайты. IKEv2 VPN предлагает лучшую безопасность с нашим шифрованием Elliptic Curve нового поколения.

Многие маршрутизаторы имеют опцию PPTP / L2TP pass-through . Включите эту опцию для подключения через PPTP, L2TP или IKEv2 VPN.Если на вашем маршрутизаторе нет этой опции, вам нужно открыть порты вручную.

  1. OpenVPN
    • Используемый протокол: UDP
      • У нас есть серверы OpenVPN UDP, работающие на портах 53, 80, 443, 1194, 8292. Ваш брандмауэр должен разрешать UDP как для входящего, так и для исходящего трафика.
    • Используемый протокол: TCP
      • У нас есть TCP-серверы OpenVPN, работающие на портах 53, 80, 443, 1194, 8292. Если вы подключаетесь к Интернету, TCP разрешен в вашем брандмауэре.
  2. Stealth VPN
    • То же, что и OpenVPN. Stealth VPN использует obfsproxy, подключаемый транспортный порт от Tor, чтобы трафик VPN выглядел как веб-трафик или трафик https.
  3. IKEv2 VPN
    • Используемый протокол: UDP . Откройте следующие порты
      • Протокол: ESP, Порт: 50 (Используется путем передачи данных)
      • Протокол: UDP, Порт: 500 (Используется IKEv2, путь управления IPSec)
      • Протокол: UDP, Порт: 1701 (Используется L2TP путь управления / данных)
      • Протокол: UDP, Порт: 4500 (Используется IKEv2, путь управления IPSec)
  4. L2TP VPN
    • Используемый протокол: UDP
      • Протокол: ESP, Порт 50 (Используется путь данных)
      • Протокол: UDP, Порт: 500 (Используется IKEv1, путь управления IPSec)
      • Протокол: UDP, Порт: 1701 (Используется путем управления / данных L2TP)
      • Протокол: UDP, Порт: 4500 (Используется по IKEv1, путь управления IPSec)
  5. PPTP VPN
    • Используемый протокол: TCP
      • Протокол: TCP, Порт: 1723
      • Протокол: GRE, Порт: 47
  6. Smart DNS

.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *