Настройка vpn pptp сервера mikrotik. MikroTik: VPN сервер PPTP и подключение клиента на Windows.

Настройка PPTP (VPN) сервера на Mikrotik

Сначала обрисую 1-ый обычный вариант опции PPTP (VPN) сервера на Mikrotik через web-интерфейс либо Winbox. В этом варианте к серверу может подключаться лишь один клиент.

1) Активируем сервер открыв меню «PPP» — «PPTP Server«, где поставим галочку «Enabled«.
2) Добавим характеристики подключения к серверу, для этого откроем «PPP» — «Secrets» и добавим:
Name: USERNAME
Password: PASSWORD
Service: pptp
Local Address: внутренний IP роутера, к примеру 192.168.88.1
Remote Address: IP который будет назначен клиенту, к примеру 192.168.88.2
жмем OK.
3) Добавим правило в фаервол чтоб можно было подключатся к серверу из вне, для этого откроем меню «IP» — «Firewall» и во вкладке «Filter Rules» добавим правило:
Chain: input
Dst. Address: наружный IP адресок роутера
Protocol: tcp
Dst. Port: 1723
In. Interface: WAN порт роутера, к примеру ether1-gateway
Action: accept
жмем OK, на этом обычная опции завершена.

Теперь обрисую вариант опции из командной строчки. К серверу может подключатся много клиентов и они будут получать IP адреса по DHCP.

Включение pptp сервера:

interface pptp-server server set enabled=yes

Просмотр характеристик pptp сервера:

interface pptp-server server print

Добавление интерфейса pptp сервера:

interface pptp-server server add add name=pptpserver user=USERNAME

Установка пула адресов которые будут выдаваться подключившимся пользователям:

ip pool add name=”pptp-pool” ranges=172.20.1.10/28

Добавление профиля для pptp сервера:

ppp profile add name=”pptp” local-address=172.20.1.11 remote-address=pptp-pool use-compression=no use-vj-compression=no use-encryption=default only-one=default change-tcp-mss=yes

Добавление данных для аутентификации:

ppp secret add name=”USERNAME” service=pptp caller-id=”” password=”PASSWORD” profile=pptp

Также нужно разрешить трафик по протоколу TCP на порт 1723 из вне и разрешить протокол GRE.
Для этого добавляем 1-ое правило, chain = input, protocol = tcp, Dst.Port = 1723, action = accept.
И 2-ое, chain = input, protocol = gre, action = accept.
Эти два правила нужно расположить перед обычными запрещающими правилами, по другому они не будут работать.

В параметрах сделанного VPN соединения в Windows нужно выбрать тип PPTP и шифрование «необязательно, подключатся даже без шифрования».

Читайте также  Подключить мобильный аутентификатор стим. Двухфакторая защита Стим Гуард – как подключить мобильный аутентификатор

Немного полезной информации:
PAP (Password Authentication Protocol) — протокол проверки подлинности, инспектирует имя и пароль.
CHAP (Challenge Handshake Authentication Protocol) — обширно распространённый протокол, в котором серверу передается не пароль юзера, а косвенные сведения о нём.
MS-CHAP (Microsoft Challenge Handshake Authentication Protocol) — протокол от Microsoft для проверки подлинности удалённых компьютеров.

Смотрите также мои статьи:
Настройка VPN IPSec/L2TP сервера на Mikrotik
Установка и настройка PPTPd сервера
Настройка VPN-сервера в Windows Server

Написано авторомVyacheslavНаписано вMikroTikМетки: PPTP, VPN

Настраиваем VPN на Mikrotik CHR

Ранее мы писали про установку и базисную настройку Mikrotik CHR на виртуальные серверы. В данной статье мы выполним настройку VPN-сервера на базе Cloud Hosted Router и подключим клиентские устройства к настроенному VPN.

При написании данной статьи употреблялся пасмурный сервер со последующими характеристиками:

  • 1 vCPU;
  • 512 МБ RAM;
  • 5 ГБ стремительный диск.

Операционной системой выбрана актуальная на момент написания статьи Stable-версия RouterOS: 6.47.6. Мы предполагаем, что читатель уже установил MikroTik CHR и провел первичную настройку.

Несмотря на то, что в статье описана настройка на Cloud Hosted Router, эта аннотация может употребляться и для физических маршрутизаторов с RouterOS.

Общие настройки

Создание пула IP-адресов

При подключении к VPN клиент «входит» в локальную сеть с VPN-сервером. Это просит сероватой сабсети и перечня доступных для клиента адресов, именуемых пул. Сделать пул можно последующей командой:

Мы выделили 253 адресов в сабсети 172.24.0.0/24 и окрестили ее vpn-pool.

Обратите внимание, что адресок 172.24.0.254 не заходит в пул адресов, так как этот адресок будет принадлежать VPN-серверу и не должен быть выделен клиенту.

Создание PPP-профиля

«Связать» пул адресов для клиентов и адресок VPN-сервера можно с помощью PPP-профиля. Используем последующую команду:

Рассмотрим характеристики команды:

  • name=vpn-profile — задаем имя профиля;
  • local-address=172.24.0.254 — задаем адресок VPN-сервера;
  • remote-address=vpn-pool — указываем применять пул vpn-pool для выдачи адресов клиентам;
  • use-mpls=no — не используем MultiProtocol Label Switching;
  • use-compression=yes — включаем сжатие трафика;
  • use-encryption=yes — включаем шифрование;
  • only-one=no — разрешаем наиболее 1-го одновременного подключения для пользователя.

Настройка NAT

Создать локальную сеть меж VPN-сервером и VPN-клиентом — это половина задачи. Дальше нужно разрешить клиенту выходить в веб через VPN-подключение. Для этого нужно настроить NAT. Сделать это можно последующей командой:

Читайте также  Как сохранить аккумулятор ноутбука. Батарея ноутбука. Как использовать правильно

Создание пользователя

Далее создаем юзера. Сделать это можно последующей командой:

Параметр service описывает, какие сервисы доступны юзеру. Мы планируем употреблять юзера для демонстрации 4 протоколов VPN, потому установим значение any. Создаем юзера vpn-user с паролем vpn-password с доступом к хоть какому сервису:

Пользователь сотворен. Но, некие VPN-протоколы требуют сертификатов.

Генерация сертификатов сервера

Если вы планируете употреблять OpenVPN либо SSTP, то со стороны сервера требуются два сертификата: CA (Certification authority, Центр Сертификации) и серверный (server). 1-ый сертификат является «неоспоримым» и им можно подтверждать самоподписанные сертификаты, сделанные для сервера и для клиентов.

Сперва выберем Common Name (CN) для центра сертификации. Тут нет специфичных требований, потому допустимо применять хоть какое имя. Мы используем имя хоста в качестве CN. В параметре ca-crl-host нужно указать IP-адрес либо домен VPN-сервера.

Далее создаем сертификат для VPN-сервера и подписываем его лишь сделанным CA-сертификатом. Обратите внимание, что CN для сертификата сервера должен быть строго доменом либо IP-адресом.

Для протокола SSTP значение поля CN является критичным. Ежели CN является IP-адресом, то VPN-клиенту необходимо подключаться конкретно по IP-адресу. При подключении по домену произойдет ошибка.

Сертификат CA нужно экспортировать, чтоб клиент доверял сертификату сервера. Файл:

После экспорта на вкладке Files в веб-интерфейсе можно будет скачать файл cert_export_MikroTik.crt. Сохраните его, он будет нужно далее.

Настройка VPN-сервера

Мы разглядим четыре протокола для организации VPN:

  • PPTP;
  • L2TP/IPsec;
  • OpenVPN;
  • SSTP.

Каждый из протоколов владеет своими плюсами и минусами. Разглядим протоколы поближе.

PPTP

Начнем с самого легкого в настройке протокола Point-to-Point Tunneling Protocol (PPTP). Данный протокол не просит огромного количества вычислительных ресурсов и поддерживается «из коробки» обилием операционных систем. Посреди минусов — наличие суровых уязвимостей в протоколах аутентификации.

Запустить VPN-сервер можно в одну команду:

В качестве клиента возьмем телефон под управлением ОС Android 8.0.0.

Подключение по PPTP не просит доп программного обеспечения и не доставляет заморочек. Но, ежели охото чуток больше сохранности, то следует поглядеть в сторону протоколов L2TP/IPsec.

L2TP/IPSec

Как и PPTP, протоколы L2TP/IPsec поддерживаются огромным количеством операционных систем. Наиболее того, используемый в IPsec метод шифрования AES на данный момент не имеет суровых уязвимостей, что гарантирует относительную сохранность и конфиденциальность при использовании L2TP/IPsec.

Читайте также  Из нескольких файлов сделать один pdf. Объединение или слияние файлов в один файл PDF

Настройка L2TP/IPsec VPN-сервера похожа на настройку PPTP-сервера:

Обратите внимание на параметр ipsec-secret. Этот параметр — общий ключ IPsec. Так как мы используем аутентификацию по паре логин/пароль без сертификата, то в настройках клиента нужно выбирать L2TP/IPsec PSK либо L2TP/IPsec с общим ключом.

Хотя L2TP/IPsec является неплохим компромиссом, стоит оценить и OpenVPN.

OpenVPN

OpenVPN — современная разработка с открытым начальным кодом. Данное решение предоставляет сохранность, высшую скорость работы и умение маскироваться под HTTPS-трафик. К огорчению, для использования OpenVPN нужно устанавливать доп программное обеспечение, к примеру, официальный OpenVPN Connect, а также работать с сертификатами и конфигурационными файлами ovpn.

Включаем OpenVPN-сервер с указанием серверного сертификата, который сгенерировали ранее:

Создаем шаблон клиентского сертификата:

Генерируем сертификат для юзера vpn-user на базе шаблона:

Экспортируем сертификат и ключ. Обратите внимание, что пароль во время экспортирования указан пароль super-secret-password, который нужно будет ввести при импорте в VPN-клиенте.

В веб-интерфейсе на вкладке Files можно отыскать последующие файлы:

Скачиваем указанные файлы и составляем конфигурационный файл ovpn:

Передаем ovpn-файл на телефон и импортируем его через OpenVPN Connector.

В качестве Private Key Password используем пароль, указанный при экспортировании. Данные юзера для подключения остались неизменными.

SSTP

SSTP — это проприетарный протокол от Microsoft, владеющий плюсами OpenVPN. Данный протокол поддерживается ОС Microsoft Windows, начиная с Vista SP1, а на остальных ОС просит установки доп ПО.

Для пуска сервера довольно выполнить одну команду:

Так как данный протокол поддерживается Windows, то проверим работу сервера на Windows 10. В первую очередь нужно установить центр сертификации. Скачиваем cert_export_MikroTik.crt и открываем двойным кликом.

Откроется окно, которое предупреждает, что нет доверия к этому центру сертификации. Это исправляется установкой сертификата. При установке избираем хранилище «локальный компьютер» и на последующем шаге помещаем сертификат в «доверенные корневые центры сертификации». Сейчас можно приступить к настройке VPN-подключения.

Открываем Параметры Windows — Сеть и Веб — VPN и добавляем VPN-подключение, вводим имя либо адресок сервера как было указано в сертификате сервера и вводим свои логин-пароль. VPN-подключение установлено.

Заключение

Мы разглядели настройку VPN-серверов на 4 различных протоколах. Надеемся, что эта аннотация поможет для вас сделать свой виртуальный маршрутизатор на базе Mikrotik CHR.

Оставьте комментарий