С ростом значения интернета в нашей повседневной жизни все более востребованными становятся различные сетевые технологии. Если раньше VPN был преимущественно уделом крупных организаций, то сегодня он используется чуть ли не в каждой сети, действительно, сотрудники стали мобильными и удаленный доступ к ресурсам сети уже не блажь, а насущная необходимость. Настройка роутера Mikrotik как VPN-клиента вопрос, на первый взгляд, простой, но есть некоторые не очевидные моменты, которые мы разберем в данной статье.
Научиться настраивать MikroTik с нуля или систематизировать уже имеющиеся знания можно на углубленном курсе по администрированию MikroTik. Автор курса, сертифицированный тренер MikroTik Дмитрий Скоромнов, лично проверяет лабораторные работы и контролирует прогресс каждого своего студента. В три раза больше информации, чем в вендорской программе MTCNA, более 20 часов практики и доступ навсегда.
В прошлых материалах мы уже коротко рассматривали типы VPN и обращали внимание на неоднозначность используемой терминологии, традиционно термином VPN называют клиент-серверные соединения, где кроме туннельного протокола применяются вспомогательные технологии для установления соединения и контроля его состояния, аутентификации пользователя, согласования параметров подключения и т.д. и т.п. Одним из таких протоколов является PPP.
В рамках данной статьи мы будем рассматривать варианты настройки Mikrotik именно в качестве клиента для поддерживаемых типов VPN-серверов, оставив за кадром туннельные подключения (GRE, IP-IP, EoIP и т.д.). Для работы с этим типом соединений используется специальный раздел PPP, на закладке Interfaces которого можно добавить сетевой интерфейс для нужного типа VPN-клиента. Поддерживаются PPTP, L2TP, SSTP и OpenVPN подключения. Также в списке присутствуют устаревший PPP и PPPoE, который используется для организации доступа в интернет, в данном контексте эти протоколы интереса не представляют.
Также аналогичные действия можно выполнить и в разделе Interfaces, никакой разницы откуда вы будете добавлять сетевой интерфейс нет. Но не будем спешить и перейдем на закладку Profiles, где находятся профили используемые при коммутируемых подключениях. По умолчанию созданы два профиля: default и default-encryption, в которых содержатся некоторые настройки для подключения. Почему некоторые? Потому что большинство опций подключения задаются сервером и клиент должен применять именно их, иначе подключение будет невозможным. Поэтому если вы заглянете в эти профили, то увидите, что большинство настроек там не активно.
Единственным различием двух профилей является опция Use Encryption, которая в default-encryption установлена в положение yes и требует обязательного шифрования подключения. Данная опция игнорируется протоколами SSTP и OpenVPN, которые всегда используют шифрованные подключения.
Означает ли это, что если мы выберем профиль default, то ваше соединение не будет шифроваться? Нет, если сервер использует шифрование и не допускает небезопасных подключений, то ваше соединение также будет зашифровано. Но вот если сервер разрешает небезопасные подключения, то клиент вполне может подключиться без шифрования, таким образом можно осуществить атаку с подменой сервера, когда вы получите незашифрованное подключение и не будете знать об этом. Поэтому если вам явно требуется шифрование канала всегда выбирайте профиль default-encryption.
Мы не советуем менять настройки в стандартных профилях, если вам нужно явно задать иные настройки подключения, то создайте собственный профиль. Также учтите, что опция Use Compression игнорируется для OpenVPN соединений, которые в реализации от Mikrotik не могут использовать сжатие трафика.
PPTP-клиент
Пожалуй, это самый простой в настройке тип соединений. Несмотря на то, что используемое в PPTP шифрование не является надежным, этот протокол продолжает широко использоваться благодаря низким накладным расходам и высокой скорости работы, например, для доступа в интернет.
Для настройки PPTP клиента добавьте интерфейс типа PPTP Client и перейдите на закладку Dial Out, где расположены сетевые настройки.
Настроек немного, и они просты. В поле Connect To укажите FQDN или IP-адрес VPN-сервера, в поля User и Password — имя пользователя и пароль. В Profile выбирается в зависимости от необходимости шифрования нужный профиль. В самом низу рядом с опцией Allow (разрешить) указаны допустимые к использованию протоколы аутентификации, на сегодня безопасным считается только MS-CHAP v2 и следует использовать по возможности только его. Однако помните, что используемый протокол аутентификации должен поддерживаться сервером, в противном случае установить связь вы не сможете.
Опция Keepalive Timeout указывает время переподключения соединения в случае обрыва связи. Бытует мнение, что лучше делать это значение поменьше, мол быстрее будет переподключаться туннель. Но это не так, во-первых, при неполадках на сервере вы будете активно забивать канал и нагружать сервер служебным трафиком, а во-вторых, при кратковременных перебоях связи короткое время будет вызывать переподключение с обрывом всех соединений в канале, а большее значение позволит сохранить туннель. Особенно это актуально для мобильного интернета или беспроводных каналов.
Опция Add Default Route создаст маршрут по умолчанию через туннель, т.е. направит туда весь исходящий трафик, указывайте ее только в том случае, если данный туннель основной способ доступа в интернет.
Никаких иных особенностей и подводных камней здесь нет и если вы правильно указали настройки, то клиент должен будет без проблем подключиться к серверу.
L2TP-клиент
Говоря про L2TP, обычно подразумевают L2TP/IPsec, потому как без шифрования данный протокол в корпоративной среде не используется. Но есть и исключения, некоторые провайдеры, например, Билайн, используют чистый L2TP без шифрования. В этом случае настройки подключения будут выглядеть так:
Обратите внимание на используемый профиль — default, так как соединение не зашифрованное, с профилем default-encryption вы не сможете подключиться к серверу провайдера. Add Default Route ставим только если это основное соединение с интернет. Также имеет смысл использовать опцию Allow Fast Path, для разгрузки CPU, особенно на младших моделях, но учтите, что с данной опцией соединение может работать неустойчиво, в таком случае ее придется отключить.
Для работы с L2TP/IPsec настройки будут немного иные, во-первых, используем профиль default-encryption и включаем использование IPsec установкой флага Use IPsec, при этом становится активным поле IPsec Secret, куда вводим предварительный ключ.
Опция Allow Fast Path при использовании IPsec игнорируется и в ее установке нет никакого смысла, так же не забывайте про опцию Add Default Route, в большинстве корпоративных сценариев устанавливать ее не следует.
Вроде бы тоже ничего сложного в настройках L2TP/IPsec нет, но если вы попытаетесь подключиться к Windows Server, то у вас ничего не получится. В чем же дело? А дело в настройках IPsес, перейдем в IP — IPsec — Proposal и откроем настройку по умолчанию. Proposal или предложение IPsec содержит список алгоритмов защиты канала, которые устройство предлагает для установления соединения. Понятно, что для успешного установления канала поддерживаемые методы защиты должны совпадать.
В предложении IPsec по умолчанию обращаем внимание на опцию PFS Group, она отвечает за применение технологии совершенной прямой секретности (Perfect forward secrecy, PFS), которая предусматривает создание уникальных сессионных ключей по алгоритму Диффи-Хеллмана, что делает невозможным расшифровку перехваченного IPsec трафика даже при наличии долговременных ключей (в данном случае предварительного ключа).
Windows Server по умолчанию не поддерживает совершенную прямую секретность, поэтому PFS Group нужно выставить в состояние none, после чего соединение успешно установится.
Обратите внимание, что в данном случае мы изменили настройку по умолчанию, но в данном случае это оправдано. Настройки IPsec достаточно сложны и вряд-ли человек не имеющий опыта работы с данной технологией сможет все правильно настроить с первого раза. Но это изменение следует учитывать при создании других соединений, использующих IPsec и приводить настройки с обоих сторон к общему виду.
Хотя более правильным является создание своего предложения (Proposal) и политики (Police) для каждого соединения, но эта тема далеко выходит за рамки статьи.
SSTP-клиент
Мы не будем останавливаться на уже описанных нами опциях, которые общие для всех видов коммутируемых подключений, а сосредоточимся на новых, свойственных именно этому типу VPN. SSTP относится к отдельной подгруппе SSL VPN, которые используют трафик практически не отличимый от HTTPS, что серьезно затрудняет выявление и блокирование таких туннелей.
На что следует обратить внимание при настройке? Давайте сначала посмотрим на окно настроек:
Как видим, появилась опция Port, где мы можем указать порт подключения, по умолчанию это 443, но можно использовать и любой иной, если 443 порт занят, например, веб-сервером. Также SSTP может прекрасно работать через прокси, в этом случае вам потребуется указать адрес прокси-сервера и используемый им порт в опциях Proxy и Proxy Port.
Также вспоминаем, что SSTP всегда использует шифрование канала, поэтому оно будет работать вне зависимости от выбранного профиля, в данном случае default и default-encryption будут работать одинаково.
Теперь перейдем к специфичным для протокола настройкам, которые мы обвели зеленой рамкой. Поле Certificate используется для указания клиентского сертификата в том случае, если сервер использует аутентификацию по сертификатам, в этом случае его потребуется загрузить на устройство и импортировать в разделе System — Certificates. Во всех остальных случаях в поле должно стоять none.
TLS Version указывает на допустимые к использованию версии TLS, однако это определяется сервером, но следует стараться использовать только протокол TLS 1.2, что позволяет исключить атаки с понижением протокола.
Опция Verify Server Certificate не является обязательной, но позволяет проверить подлинность сервера, исключая атаки типа человек посередине, для этого потребуется импортировать на Mikrotik сертификат центра сертификации (СА) выдавшего сертификат серверу.
Опция Verify Server Address From Certificate позволяет убедиться, что IP-адрес подключения соответствует адресу для имени, указанного в сертификате. Также не является обязательной, но позволяет дополнительно убедиться, что подключаетесь вы именно к тому серверу.
Установка флага в поле PFS включает совершенную прямую секретность, но эта опция должна поддерживаться со стороны сервера.
OpenVPN-клиент
Реализация OpenVPN в Mikrotik вызывает много нареканий, так как сводит на нет все сильные стороны данной технологии и делает ощутимыми слабые. OVPN-клиент не поддерживает сжатие данных и работу по протоколу UDP, если первое не столь значимо на современных каналах, то OpenVPN поверх TCP имеет очень большие накладные расходы и вызывает как повышенную нагрузку на оборудование, так и плохую утилизацию канала. Поэтому от использования OpenVPN на Mikrotik по возможности следует отказаться.
Обычно комплект для подключения OpenVPN клиента составляют сертификат СA, сертификат и закрытый ключ клиента, конфигурационный файл. Нам понадобятся только сертификат и ключ клиента, а если мы хотим проверять подлинность сервера, то еще и сертификат CA, но он не является обязательным для настройки подключения.
Прежде всего загрузим сертификаты и ключи на Mikrotik, затем перейдем в System — Certificates и импортируем сертификат клиента. Он появится в списке сертификатов и напротив него будет буква T, что обозначает trusted, т.е. устройство доверяет этому сертификату. Затем импортируем ключ, здесь важно соблюдать именно эту последовательность, сначала сертификат, потом ключ.
После успешного импорта ключа флаги сменятся на KT, где буква K обозначает наличие закрытого ключа для сертификата. Затем аналогичным образом импортируем сертификат CA сервера, импорт ключа для данного сертификата не нужен. Закрытый ключ CA является самой большой тайной и должен хранится с соблюдением всех мер предосторожности и не при каких обстоятельствах не должен покидать узел СA (центра сертификации).
Теперь рассмотрим поближе окно настроек подключения, адрес подключения и порт не должны вызвать затруднений, а вот остальные опции нуждаются в пояснении, значимые мы выделили зеленой рамкой.
Но сначала коснемся опций User и Profile. Первая используется только в случае аутентификации на сервере по имени и паролю, большинство OpenVPN серверов такой тип аутентификации не используют и в этом поле вы можете написать все что угодно, просто оно должно быть заполнено. Профиль также не имеет значения, так как OpenVPN всегда шифрует канал, а опцию сжатия игнорирует.
Mode задает режим работы канала, в терминах OpenVPN ip — это tun (L3), а ethernet — это tap (L2), следует помнить, что режим работы определяется сервером. В поле Certificate укажите импортированный сертификат клиента. Опции Auth и Cipher указывают на используемые сервером криптографические алгоритмы для аутентификации и шифрования, если вы укажете отличные от указанных в конфигурации сервера — то соединение установить не удастся. Если алгоритм аутентификации явно не указан в конфигурации сервера, то по умолчанию используется SHA1.
При настройке OpenVPN клиента на Mikrotik следует помнить, что сервер должен поддерживать соединения по протоколу TCP, без сжатия и TLS-аутентификации, в противном случае подключиться к серверу не удастся.
Опция Verify Server Certificate позволяет проверить подлинность сертификата сервера, что защищает от атак типа человек посередине, но требует импорта сертификата CA сервера.
Маршрутизация
Если VPN соединение используется для доступа к корпоративной сети или предназначено для связи сетей, то вам потребуется указать маршруты для правильной пересылки пакетов. Так если мы хотим получить доступ к сети за VPN-севером, то нам потребуется создать маршрут к этой сети, указав в качестве шлюза интерфейс нашего VPN-клиента, например так:
В данном примере мы отправляем все пакеты к сети 192.168.200.0/24 через L2TP-подключение l2tp-out1. Если вы понимаете основы маршрутизации, то указание правильных маршрутов для вас не составит труда.
Отдельного внимания заслуживает опция Pref. Source, которая не является обязательной, но ее следует указывать, если роутер обслуживает несколько сетей, в ней указывается адрес, с которого роутер будет посылать пакеты по указанному маршруту. Без ее указания доступ роутера к ресурсам удаленных сетей может оказаться невозможным (как и удаленных сетей к нему), на работу клиентов в сетях это не влияет. В качестве значения следует указать адрес, принадлежащий той сети, к которой имеется маршрут с противоположной стороны (т.е. сети за сервером).
Научиться настраивать MikroTik с нуля или систематизировать уже имеющиеся знания можно на углубленном курсе по администрированию MikroTik. Автор курса, сертифицированный тренер MikroTik Дмитрий Скоромнов, лично проверяет лабораторные работы и контролирует прогресс каждого своего студента. В три раза больше информации, чем в вендорской программе MTCNA, более 20 часов практики и доступ навсегда.
Mikrotik is one of the most used router and wireless products in internet service providers and networking companies because of its award-winning RouterOS. If you are using the MikroTik router in multiple locations and do not have a public IP address to access remotely and manage from a centralized location. This is a simple configuration for How to setup a VPN server in a MikroTik router. Mikrotik Router supports multiple types of VPN services like PPTP VPN which use a PPTP port, L2TP VPN, site-to-site VPN and MikroTik IPsec VPN.
- How to Check Who is connected to My WiFi
All the VPN types can be used for creating a virtual network tunnel between more than one private network. The best thing about microtik RouterOS is it gives you a secure network as well as stable networks.
However, VPN (a virtual private network) will help you to access Mikrotik CCR router remotely without public IP addresses using a VPN client. You can configure VPN in any MikroTik Routerboard to access remotely from a different location.
- Factory Reset of MikroTik Router | 3 Method
Login MikroTik Router to setup VPN
To configure VPN in the Mikrotik router board need to access the router via a Winbox or web login.
Connect Mikrotik router using LAN port and open in Winbox configuration utility.
Use MikroTik default username admin and MikroTik default password not required and leave the password option blank. If you are using configured MikroTik device use the password you have configured before to log in.
- 192.168.88.1 Login MikroTik RouterOS with Admin
Enable VPN in MikroTik Router board
To configure the VPN on Mikrotik device enable VPN first and setup the VPN password.
Go to the Quick Set option as shown below image.
Find the VPN settings just Below the Local Network option.
Check VPN Access Option to enable it.
VPN User: VPN (default username)
VPN Address: It will show automatically.
VPN Password: create a VPN password.
After VPN access settings now create profile settings and add DNS and gateway.
- MikroTik RB2011UiAS Vs MikroTik RB3011UiAS | Which one Best?
Go to the PPP option and click on the Profile tab as shown below image.
1: Now double-click one default encryption.
2: Local Address: 192.168.89.1 (this address will auto-configure while VPN enable)
Remote Address: this will auto-configure.
3: DNS Server: give MikroTik LAN IP to DNS.
4: Click Apply and OK buttons to finish settings.
MikroTik VPN setup for remote access of router finish now test the VPN configuration.
- How to Setup MikroTik WiFi Router as Repeater mode
Create a VPN client connection in Windows 10
If you are using Windows 10 or Windows 8.1 you can directly create a VPN connection using a VPN client option.
Just open the start menu and search for VPN.
Click on VPN
“Add a VPN Connection”
Create a New VPN connection
VPN provider: Windows (built-in)
Connection Name: give the name of the VPN connection
Server Name or address: give the WAN IP address of the Mikrotik router you have set up a VPN.
VPN type: Automatic
Type of Sing-in info: username and password
Username: VPN
Password: (use the password set on the VPN password)
Click the Save button.
Connect VPN connection from Windows 10
Click on VPN connection and press the Connect button to dial VPN.
Wait for a VPN connection connecting to the Mikrotik Router VPN tunnel.
Successful authentication will show the connected status on the VPN connection name.
See the below image for reference.
Now you can access your MikroTik CCR RB3011 or any MikroTik cloud core router as well as other device using VPN server configuration.
If you are using older Windows you can configure OpenVPN in MikroTik or also can use OpenVPN client software to access the Mikrotik VPN network from different networks.
Related Post
- Mikrotik groove Login and AP Mode configuration
- TP-Link AC1750 Range Extender Mode Setup [Archer C8]
- How to Access Phone screen to PC (Mirror Phone)
- TP-link L2 Managed Switch Bandwidth limit configuration
- Login Time Warner Router to change WiFi password
Время на прочтение
3 мин
Количество просмотров 132K
В этом пошаговом руководстве я расскажу, как настроить Mikrotik, чтобы запрещённые сайты автоматом открывались через этот VPN и вы могли избежать танцев с бубнами: один раз настроил и все работает.
В качестве VPN я выбрал SoftEther: он настолько же прост в настройке как и RRAS и такой же быстрый. На стороне VPN сервера включил Secure NAT, других настроек не проводилось.
В качестве альтернативы рассматривал RRAS, но Mikrotik не умеет с ним работать. Соединение устанавливается, VPN работает, но поддерживать соединение без постоянных реконнектов и ошибок в логе Mikrotik не умеет.
Настройка производилась на примере RB3011UiAS-RM на прошивке версии 6.46.11.
Теперь по порядку, что и зачем.
1. Устанавливаем VPN соединение
В качестве VPN решения был выбран, конечно, SoftEther, L2TP с предварительным ключом. Такого уровня безопасности достаточно кому угодно, потому что ключ знает только роутер и его владелец.
Переходим в раздел interfaces. Сначала добавляем новый интерфейс, а потом вводим ip, логин, пароль и общий ключ в интерфейс. Жмем ок.
То же самое командой:
/interface l2tp-client
name="LD8" connect-to=45.134.254.112 user="Administrator" password="PASSWORD" profile=default-encryption use-ipsec=yes ipsec-secret="vpn"
SoftEther заработает без изменения ipsec proposals и ipsec profiles, их настройку не рассматриваем, но скриншоты своих профилей, на всякий случай, автор оставил.
Для RRAS в IPsec Proposals достаточно изменить PFS Group на none.
Теперь нужно встать за NAT этого VPN сервера. Для этого нам нужно перейти в IP > Firewall > NAT.
Тут включаем masquerade для конкретного, или всех PPP интерфейсов. Роутер автора подключен сразу к трём VPN’ам, поэтому сделал так:
То же самое командой:
/ip firewall nat
chain=srcnat action=masquerade out-interface=all-ppp
2. Добавляем правила в Mangle
Первым делом хочется, конечно, защитить все самое ценное и беззащитное, а именно DNS и HTTP трафик. Начнем с HTTP.
Переходим в IP → Firewall → Mangle и создаем новое правило.
В правиле, Chain выбираем Prerouting.
Если перед роутером стоит Smart SFP или еще один роутер, и вы хотите к нему подключаться по веб интерфейсу, в поле Dst. Address нужно ввести его IP адрес или подсеть и поставить знак отрицания, чтобы не применять Mangle к адресу или к этой подсети. У автора стоит SFP GPON ONU в режиме бриджа, таким образом автор сохранил возможность подключения к его вебморде.
По умолчанию Mangle будет применять свое правило ко всем NAT State’ам, это сделает проброс порта по вашему белому IP невозможным, поэтому в Connection NAT State ставим галочку на dstnat и знак отрицания. Это позволит нам отправлять по сети исходящий трафик через VPN, но все еще прокидывать порты через свой белый IP.
Далее на вкладке Action выбираем mark routing, обзываем New Routing Mark так, чтобы было в дальнейшем нам понятно и едем дальше.
То же самое командой:
/ip firewall mangle
add chain=prerouting action=mark-routing new-routing-mark=HTTP passthrough=no connection-nat-state=!dstnat protocol=tcp dst-address=!192.168.1.1 dst-port=80
Теперь переходим к защите DNS. В данном случае нужно создать два правила. Одно для роутера, другое для устройств подключенных к роутеру.
Если вы пользуетесь встроенным в роутер DNS, что делает и автор, его нужно тоже защитить. Поэтому для первого правила, как и выше мы выбираем chain prerouting, для второго же нужно выбрать output.
Output это цепь которые использует сам роутер для запросов с помощью своего функционала. Тут все по аналогии с HTTP, протокол UDP, порт 53.
То же самое командами:
/ip firewall mangle
add chain=prerouting action=mark-routing new-routing-mark=DNS passthrough=no protocol=udp
add chain=output action=mark-routing new-routing-mark=DNS-Router passthrough=no protocol=udp dst-port=53
3. Строим маршрут через VPN
Переходим в IP → Routes и создаем новые маршруты.
Маршрут для маршрутизации HTTP по VPN. Указываем название наших VPN интерфейсов и выбираем Routing Mark.
На этом этапе вы уже почувствовали, как ваш оператор перестал встраивать рекламу в ваш HTTP трафик.
То же самое командой:
/ip route
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=HTTP distance=2 comment=HTTP
Ровно так же будут выглядеть правила для защиты DNS, просто выбираем нужную метку:
Тут вы ощутили, как ваши DNS запросы перестали прослушивать. То же самое командами:
/ip route
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=DNS distance=1 comment=DNS
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=DNS-Router distance=1 comment=DNS-Router
Ну под конец, разблокируем Rutracker. Вся подсеть принадлежит ему, поэтому указана подсеть.
Вот настолько было просто вернуть себе интернет. Команда:
/ip route
add dst-address=195.82.146.0/24 gateway=LD8 distance=1 comment=Rutracker.Org
Ровно этим же способом, что и с рутрекером вы можете прокладывать маршруты корпоративных ресурсов и других заблокированных сайтов.
Автор надеется, что вы оцените удобство захода на рутрекер и корпоративный портал в одно и тоже время не снимая свитер.
На этой странице рассмотрено создание VPN (Virtual Private Network «виртуальная частная сеть») для удаленного доступа пользователя на ОС Windows 10 к сети организации с использованием протокола PPTP через маршрутизатор MikroTik.
Освоить MikroTik Вы можете с помощью онлайн-куса
«Настройка оборудования MikroTik». Курс содержит все темы, которые изучаются на официальном курсе MTCNA. Автор курса – официальный тренер MikroTik. Подходит и тем, кто уже давно работает с микротиками, и тем, кто еще их не держал в руках. В курс входит 162 видеоурока, 45 лабораторных работ, вопросы для самопроверки и конспект.
PPTP (Point-to-Point Tunneling Protocol) туннельный протокол типа точка-точка, позволяющий компьютеру устанавливать защищённое соединение с сервером за счёт создания специального туннеля в стандартной, незащищённой сети wiki. PPTP обладает уязвимостью в протоколе аутентификации MS-CHAP v.2. Уязвимость была закрыта за счет протокола расширенной проверки подлинности EAP (PEAP). Разработчик протокола корпорация Microsoft рекомендует вместо PPTP использовать L2TP или SSTP. Так как PPTP встроен в каждый Windows и легко настраивается, его еще используют. Описание PPTP представлено в исторических целях и для понимания упрощенной настройки VPN. Взломостойкость зависит от сложности и длинны пароля.
Схема подключения удаленного пользователя к сети организации на рисунке ниже.
VPN создан с помощью роутера MikroTik RB750Gr3 с прошивкой 6.47.
Первоначальная настройка роутера выполнена по этой инструкции.
Быстрая настройка VPN PPTP представлена тут .
Порядок действий.
1.Подключение в роутер.
2.Активация сервера PPTP.
3.Создание пула IP адресов.
4.Создание профиля доступа.
5.Создание пользователя VPN.
6.Правила Firewall.
7.Настройка VPN соединения пользователя (клиента) в Windows 10.
8.Подключение к общей папке через VPN.
9.Подключение RDP через VPN.
1.Подключение.
Входим в меню роутера из локальной сети через WinBox (ССЫЛКА).
1.Запускаем WinBox, нажимаем на вкладку Neighbors и видим доступные в сети роутеры.
2.Кликаем на MAC или IP-адрес нужного роутера.
3.Адрес отобразится в строке Connect To:
4.Вводим логин.
5.Вводим пароль.
6.Нажимаем кнопку «Connect».
2.Активация сервера PPTP.
1.В боковом меню выбираем PPP.
2.В открывшемся окне PPP переходим на вкладку Interface.
3.В верхней панели нажимаем кнопку PPTP Server.
4.В открывшемся окне ставим галочку напротив Enable.
5.Нажимаем кнопку «ОК». 
Через командную строку терминала:
|
/interface pptp—server server set enabled=yes |
3.Создание пула IP-адресов для VPN пользователей.
1.В боковом меню выбираем IP.
2.В раскрывшемся меню выбираем Pool.
3.В открывшемся окне IP Pool переходим на вкладку Pools.
4.Нажимаем синий крест (плюс).
В открывшемся окне NEW IP Pool вводим параметры:
5.Name: VPN-PPTP (любое понятное имя латиницей)
6.Addresses: 192.168.100.10-192.168.100.254 (желаемый диапазон IP для VPN)
7.Нажимаем кнопку «ОК».
Через командную строку терминала:
|
/ip pool add name= VPN—PPTP ranges=192.168.100.10—192.168.100.254 |
4.Создание профиля VPN.
Выполняем действия в меню PPP
1.Переходим на вкладку Profiles.
2.Нажимаем синий крест (плюс).
В окне создания нового профиля вводим:
3.Name: PC360VPN (любое понятное имя латиницей).
4.Local Adress: 192.168.100.1 (адрес роутера в VPN)
5.Remote Address: VPN-PPTP(выбираем созданный ранее пул или указываем IP-адрес который присвоится для удаленного клиента)
6.Нажимаем кнопку «ОК».
Через командную строку терминала:
|
/ppp profile add name=PC360VPN local—address=192.168.100.1 remote—address=VPN—PPTP |
Если к пользователю VPN понадобится постоянное и частое удаленное подключение, то необходимо будет знать его IP-адрес. При раздаче пула IP адрес может оказаться любой из заданного диапазона. Поэтому альтернативный вариант — не использовать пул IP-адресов, а привязать пользователя к конкретному IP. Для этого при создании профиля нужно указывать IP-адрес в поле Remote Address. Затем привязывать профиль к пользователю. Это можно сделать так же при создании пользователя (см.далее).
5.Создание пользователя.
1.В меню PPP переходим на вкладку Secrets.
2.Нажимаем синий крест (плюс).
В открывшемся окне вводим:
3.Name: WunderbareVPN1 (имя пользователя )
4.Password: 12345Password (сложный пароль из латинских букв и цифр разного регистра)
5.Service: pptp
6.Profile: PC360VPN (созданный ранее профиль, выбираем из выпадающего списка)
7.Нажимаем кнопку «ОК».
Новый пользователь появится в списке. Пользователя vpn (дефолтного) лучше отключить или удалить.
Через командную строку терминала:
|
/ppp secret add name=WunderbareVPN1 password=12345Password profile=PC360VPN service=pptp |
Удаление пользователя vpn.
В поле Remote Adress можно указать IP-адрес, который будет всегда присвоен к этому пользователю.
Создаем необходимое количество пользователей аналогичными действиями.
Когда VPN начнет работать, в логе можно отследить подключение созданных пользователей к сети.
6.Правила firewall.
Правила необходимы при настроенном firewall, в случае если в низу всего списка размещено правило, запрещающее все прочие подключения по входу в роутер.
PPTP требует одновременного установления двух сетевых сессий – GRE(установка сессии) и соединение на TCP-порту 1723 (для инициации и управления GRE-соединением). wiki
6.1Правило для открытия порта 1723.
1.В боковом меню выбираем пункт IP.
2.В выпадающем меню выбираем Firewall.
3.В открывшемся окне переходим на вкладку Filter Rules.
4.Нажимаем синий крест (плюс).
В открывшемся окне вводим настройки:
5.Chain: input (вход)
6.Protocol: tcp (протокол)
7.Dst. Port: 1723 (порт назначения)
8.In Interface: ether1 (внешний интерфейс)
9.Переходим на вкладку Action.
На вкладке Action вводим:
10.Action: accept
11.Нажимаем кнопку ОК для сохранения правила. 
Через командную строку терминала:
|
/ip firewall filter add chain=input dst—port=1723 in—interface=ether1 protocol=tcp action=accept comment=«VPN RULE1 accept PORT 1723» |
6.2Правило для разрешения GRE.
1.В боковом меню выбираем пункт IP.
2.В выпадающем меню выбираем Firewall.
3.В открывшемся окне переходим на вкладку Filter Rules.
4.Нажимаем синий крест (плюс).
В открывшемся окне вводим настройки:
5.Chain: input (вход)
6.Protocol: gre (протокол)
7.In Interface: ether1 (внешний интерфейс)
8.Переходим на вкладку Action.
На вкладке Action вводим:
9.Action: accept
10.Нажимаем кнопку ОК. 
Через командную строку терминала:
|
/ip firewall filter add chain=input in—interface=ether1 protocol=gre action=accept comment=«VPN RULE2 accept GRE» |
В списке правил появятся два новых. Расположить их нужно в самом верху списка.
6.3Правило NAT.
NAT masquerade для VPN трафика. Правило создается на вкладке NAT аналогично предыдущим правилам. 
Через командную строку терминала:
|
add chain=srcnat out—interface=ether1 src—address=192.168.100.0/24 action=masquerade comment=«VPN RULE NAT masquerade vpn traffic» |
7.Настройка VPN соединения клиента в Windows 10.
Удаленный компьютер подключен в Интернет. В этом ПК переходим в управление сетями.
Панель управления >> Сеть и Интернет >> Центр управления сетями и общим доступом.
Создаем новое подключение.
Среди вариантов подключения выбираем – «Подключение к рабочему месту». Далее. 
Выбираем – «Использовать мое подключение к Интернету (VPN)». 
В следующем пункте указываем внешний статический IP-адрес роутера или внешний идентификатор MikroTik(1234567891443.sn.mynetname.net у каждого роутера свой).
В поле имя пишем любое понятное имя латинскими буквами. Отмечаем галочкой «Запомнить учетные данные».
Нажимаем кнопку «Создать». 
Отредактируем свойства созданного VPN подключения в сетевых соединениях. 
В свойствах переходим на вкладку безопасность. Указываем следующие параметры.
1.Тип VPN: Туннельный протокол точка-точка (PPTP).
2.Шифрование данных: обязательное (отключится если нет шифрования)
3.Разрешить следующие протоколы – отмечаем точкой.
4.Протокол Microsoft CHAP версия 2 (MS-CHAPv2).
5.Кнопка «ОК» для сохранения настроек.
В нижней правой части экрана нажимаем на значок сети, выбираем из раскрывшегося списка нужное соединение и нажимаем кнопку «Подключится». 
В окне авторизации вводим учетные данные пользователя VPN. 
После правильного ввода учетных данных произойдет подключение.
В случае если нужно изменить учетные данные, сделать это можно в меню параметров Windows 10 «Сеть и Интернет». 
Выбираем VPN >> созданное соединение >> Дополнительные параметры. 
Изменяем и сохраняем параметры. 
8.Подключение к общей папке через VPN.
Пользователю VPN1 нужно получить доступ к общей папке у пользователя VPN2. 
Общая папка создана, доступ к ней открыт для всех. 
На компьютерах обоих пользователей выполнены все предыдущие настройки, пользователи подключены к VPN.
В настройках PPP роутера переходим на вкладку Active Connections и находим нужного нам пользователя. Переписываем его IP-адрес. 
Можно задать постоянный IP-адрес при настройке пользователя в графе Remote Address.
Проверяем в командной строке с помощью команды ping связи с компьютером нужного пользователя.
Для доступа к общей папке открываем Мой Компьютер и в адресной строке вводим IP-адрес компьютера, в котором находится общая папка.
Нажимаем кнопку «Enter».
В открывшейся форме для авторизации указываем учетные данные пользователя Windows или администратора. 
Для гарантированного подключения нужно вводить имя компьютера (домена) и через слэш имя пользователя, например MYPC\admin.
После правильного ввода логина и пароля откроется все, что в общем доступе у пользователя VPN2.
9.Подключение RDP через VPN.
Первоначально удаленный доступ нужно активировать в настройках системы пользователя VPN2. 
Запускаем RDP, вводим IP-адрес пользователя VPN. 
При авторизации вводить нужно данные учетной записи ПК (домен/имя пользователя или уч.запись администратора). 
При появлении сообщения о сертификате, нажимаем ДА. Галочкой можно отметить пункт о том, чтоб этот вопрос больше не задавался. 
Наконец, видим рабочий стол пользователя VPN.
Освоить MikroTik Вы можете с помощью онлайн-куса
«Настройка оборудования MikroTik». Курс содержит все темы, которые изучаются на официальном курсе MTCNA. Автор курса – официальный тренер MikroTik. Подходит и тем, кто уже давно работает с микротиками, и тем, кто еще их не держал в руках. В курс входит 162 видеоурока, 45 лабораторных работ, вопросы для самопроверки и конспект.
Случилось так, что родственники в деревне, к которым мы часто ездим в гости, подключились к Интернету. Эта новость меня очень обрадовала, так как мобильная сеть, которой мы обычно пользовались ловит более-менее только тогда, когда мобильный телефон лежит на настенных часах под самым потолком и раздает по Wi-Fi Интернет по дому.
Соответственно, появилась необходимость мониторить их маршрутизатор, а так же сделать удалённый доступ к моему домашнему NAS, чтобы можно было бабушкам и дедушкам показывать фотки и видео внучки (ну и наши тоже), а также периодически запрещать устройству ребёнка ютубить. Воплотить данную задачу в жизнь я решил используя маршрутизатор Mikrotik hAP AC Lite.
Провайдер, который предоставляет Интернет услуги в деревне, использует для подключения технологию динамический IP-адрес. Причем это адрес 10.X.X.X недоступный из внешней сети Интернет, поэтому есть необходимость организовать к нему доступ по типу облака. Мой провайдер предоставляет Интернет по той же технологии, но с реальным динамическим адресом. Поэтому я настроил следующую схему:
Первым делом, на ведущем маршрутизаторе RB2011 с сервером PPtP, необходимо включить функцию DDNS (так как выдается реальный динамический IP-адрес и при каждом новом подключении он может меняться).
Переходим IP -> Cloud и включаем данную функцию:
Если в поле “DNS Name” сразу после применения функции не появится сгенерированное имя сервера, то необходимо нажать кнопку “Force Update” и немного подождать. В последствии мы будем использовать это имя для настройки подключения PPtP-клиента на ведомом маршрутизаторе hAP AC Lite.
Так как существует очень много информации и описаний настройки PPtP сервер-клиент в Интернете, буду краток и начнём мы с ведущего RB2011:
- IP -> Firewall добавляем два правила с Action – accept, и обязательно двигаем их выше всех запрещающих, иначе все подключения vpn будут блокироваться:
2. PPP -> Secrets – +, добавляем пользователя, в моём случае это “babushka”:
3. Включаем PPtP-сервер, многие рекомендуют оставлять только надёжные методы аутентификации:
Настраиваем PPtP-клиента на маршрутизаторе hAP AC Lite:
- Interfaces -> + -> PPtP-Client:
После того, как соединение установлено, необходимо проверить каким образом на обоих маршрутизаторах осуществляется маскарадинг. Если на Out-Interface что-то есть, то необходимо добавить еще одно правило с маскарадингом на PPtP соединение, либо убрать полностью все интерфейсы (как у меня), тогда маскарадиться из локальной сети будут все исходящие соединения:
На данном этапе нам осталось выполнить одно простейшее действие – добавить наши сети в таблицы роутинга обоих маршрутизаторов. Делается это следующим образом – маршрутизатору RB2011 с внутренней сетью 192.168.77.0/24 добавляем:
При этом необходимо обратить внимание, что Gateway указан IP адрес удаленного PPtP-клиент соединения. Я ставил вначале интерфейс <pptp-babushka>, но при каждом новом подключении роутинг на данную сеть слетает, а при прописанном адресе остается. А вот на втором маршрутизаторе 192.168.1.1/24 можно указать интерфейс, но я сделал так же, как и на первом:
Проверить всё можно обычной командной ping, и доступ к ресурсам NAS с обычного проводника.
Также я добавил PPtP пользователя типа “бабушки” – себя, и настроил данное подключение на смартфоне, теперь у меня есть доступ к своей домашней сети из любой точки мира, плюс оттуда же и доступ к маршрутизатору бабули.
Итак, мы получили полный доступ к сетям маршрутизаторов с возможностью администрировать обе сети; доступ к NAS, то что и было нужно. Этим могут пользоваться администраторы сетей для обслуживания удаленно своих клиентов, а также малый и средний бизнес для удаленной работы. Таким же образом можно объединить несколько сетей через VPN.
Надеюсь, эта информация будет полезной.
Источник публикации