Mikrotik pptp server
Как настроить PPTP VPN сервер в MikroTik
Что такое VPN и где применяется
VPN сервер популярное средство для удаленного подключения одного ПК(или 100 ПК) к центральному узлу, а также для объединения офисов. Реализация такого сервиса есть масса, но на MikroTik работает быстро и без инцидентов по недоступности.
Для удаленного доступа сотрудников
Доступ к рабочему пространству с любого места, где есть интернет. Почта, сетевые папки, принтер, 1с – все это становится доступным.
Объединение офисов
Компьютеры, та и вся техника смогут обмениваться информацией вне зависимости от географического расположения.
Доступ к облачному серверу
Закрытый канал для доступа к корпоративному или частному серверу, расположенному в облаке.
Нужно настроить VPN сервер PPTP в MikroTik?
Мы поможем настроить: маршрутизатор(роутер), точку доступа или коммутатор.
Чем отличается PPTP от L2TP и других VPN серверов
PPTP – самый распространенный протокол VPN. Представляет собой связку протокола TCP, который используется для передачи данных, и GRE – для инкапсуляции пакетов. Чаще всего применяется для удаленного доступа пользователей к корпоративной сети. В принципе, может использоваться для многих задач VPN, однако следует учитывать его изъяны в безопасности – отсутствие шифрования. Данные передаваемые в туннеле PPTP могут быть подвержены зеркалированию в другой интернет канал, что подвергает опасности коммерческой информации.
Специалисты Настройка-Микротик.укр НЕ РЕКОМЕНДУЮТ использовать данный вид VPN туннелей для передачи коммерческой информации.
В качестве рабочих решений по организации удаленного доступа могут выступать любые VPN сервера с поддержкой шифрования: L2TP, IpSec.
Как настроить PPTP VPN сервер в MikroTik
Для VPN клиентов создаётся отдельная подсеть, это добавит больше возможностей в ограничении доступа между VPN клиентами и локальной сетью, а также в самой маршрутизации. Другими словами эта реализация обеспечивает сетевую безопасность на уровне Firewall-а.
Добавление новой подсети
Настройка находится IP->Pool
/ip pool add name=LAN-Ip-Pool ranges=192.168.10.100-192.168.10.150
Настройка VPN сервера PPTP(на сервере)
Настройка находится PPP->Profile
Предварительно нужно задать сетевые параметры для VPN клиентов
/ppp profile add dns-server=192.168.10.1 local-address=\ 192.168.10.1 name=VPN-Server remote-address=VPN-Ip-Pool
Активация VPN сервера PPTP
Настройка находится PPP->Interface->PPTP Server
/interface pptp-server server set authentication=mschap2 default-profile=VPN-Server enabled=yes
Создание учётной записи для VPN клиента
Этой учётной записью будет пользоваться VPN клиент для удаленного подключения к VPN серверу.
Настройка находится PPP->Interface->Secrets
/ppp secret add name=user1 password=user1 service=pptp profile=VPN-Server
Разрешение FireWall для подключения VPN клиентов
Настройка находится IP->Firewall
/ip firewall filter add action=accept chain=input comment="Port Access" dst-port=1723 \ in-interface-list=WAN-Interface-List protocol=tcp
Настройка интернета для VPN клиентов PPTP в MikroTik
Этот вопрос будет вынесен за рамки данной статьи, т.к. относится с дополнительным сервисам для VPN клиентов. Таких сервисов может быть множество и все они имеют индивидуальных характер(для тех кто ищет: нужно настроить и разрешить DNS запросы и Masquerade).
Нужна настройка MikroTik?
Настройка сервисов на маршрутизаторах MikroTik: подключение интернета, DHCP, brige, VLAN, WiFi, Capsman, VPN, IpSec, PPTP, L2TP, Mangle, NAT, проброс портов, маршрутизация(routing), удаленное подключение и объединение офисов.
VPN подключение PPTP между двумя MikroTik-ами, объединение офисов
В этой настройке будут участвовать два роутера MikroTik, один в качества сервера, другой в качестве клиента. На этапе создание такого подключения стоит обратить внимание на модель MikroTik, т.к. от неё зависит количество VPN подключений, а также возможность обрабатывать такие потоки данных. Для консультации по этому вопросу обращайтесь в Настройка-Микротик.укр через контактную форму.
Для объединения двух офисов и работы маршрутизации данную настройку лучше разбить на два блока:
- Настройка клиент-серверной части;
- Добавление статических маршрутов для прохождения трафика.
Серверная часть была описана ваше, но требует корректировки в виде статических адресов для VPN клиента
Настройка находится PPP->Interface->Secrets
/ppp secret add local-address=192.168.10.1 name=user2 password=user2 profile=VPN-Server \ remote-address=192. 168.10.2
а клиентская часть состоит из настройки PPTP клиента.
Настройки PPTP клиента(на клиенте)
Настройка находится PPP->Interface->+PPTP Client
/interface pptp-client add connect-to=90.200.100.99 disabled=no name=\ pptp-out1 password=user2 user=user2
Настройка маршрутизации со стороны VPN сервера
Это правило укажет роутеру MikroTik куда направлять трафик.
Настройка находится IP->Routes
/ip route add distance=1 dst-address=192.168.88.0/24 gateway=192.168.10.2
где
- 192.168.88.0/24 – сеть за 2-ым MikroTik-ом, который выступает в роли ppptp клиента;
- 192.168.10.2 – IP адрес 2-ого MikroTik-а.
Настройка маршрутизации со стороны VPN клиента
Настройка находится IP->Routes
/ip route add distance=1 dst-address=192. 168.0.0/24 gateway=192.168.10.1
где
- 192.168.5.0/24 – сеть 1-ого MikroTik-ом, который выступает в роли ppptp сервера;
- 192.168.10.1 – IP адрес 1-ого MikroTik-а.
Создание VPN подключения PPTP Windows
ОС семейства Windows имеют штатный VPN клиент, который отлично подходит под эту роль. Для его настройки нужно перейти
Панель управления\Сеть и Интернет\Центр управления сетями и общим доступом
создание Windows VPN клиента
выбор нового подключения
использовать текущее подключение к интернету
указать адрес VPN сервера
настройка VPN клиента Windows
подключение Windows VPN
статус подключения Windows VPN
PPTP VPN
MikroTik настройка VPN PPTP Server на RouterOS
В сегодняшней статье мы рассмотрим настройку PPTP-сервера на Mikrotik (RouterOS) через Winbox. Роутер будет находиться на нашем тестовом стенде EVE-NG, по этому я буду использовать образ Mikrotik CHR 6.45.7 для виртуальных машин.
Пару слов о протоколе PPTP. Протокол является клиент-серверным, работает по TCP и использует в своей работе GRE. Стоит отметить, что ваши данные будут гарантированно доставлены благодаря использованию TCP. Зачастую бывает, что провайдер блокирует GRE, в результате соединение между клиентом и сервером не может установиться.
Имейте ввиду, что если вы собираетесь использовать внутри PPTP телефонию, то качество связи может ухудшиться. Предполагается что на роутере настроен доступ в интернет, и провайдер предоставляет публичный (белый) IP адрес.
Если вы хотите углубить свои знания по работе с роутерами MikroTik, то наша команда рекомендует пройти курсы которые сделаны на основе MikroTik Certified Network Associate и расширены автором на основе опыта . Подробно читайте ниже.
Содержание
- Настройка
- Настройка Firewall для PPTP Сервера
- 89 вопросов по настройке MikroTik
Настройка
Для начало нам нужно подключится к роутеру через Winbox.
MikroTik имеет доступ в интернет через интерфейс ether1 с адресом 172.16.11.2/24. Так же на нем настроена локальная сеть на интерфейсе General-Bridge с адресом 192.168.10.1/24. В Bridge находятся интерфейсы ether2-ether4
Открываем вкладку PPP:
Нас интересует PPTP Server, и сразу дам рекомендацию, не нужно заходить в нее и включать сервер PPTP. Большая ошибка многих конфигураций — это использование стандартных профайлов. Прежде чем включать VPN, нужно создать и настроить новый. Он нужен для более тонкой настройки PPTP сервера Mikrotik. В нем мы включаем и отключаем нужные параметры. Предлагаю взглянуть.
Переходим в Profiles
Жмем на плюс, так же стандартные Profile не нужно удалять или выключать.
Перед нами открывается окно нового профайла. В строке «Name» задаем понятное имя. В строке Local Address указываем IP адрес Mikrotik в VPN. Я указываю 172.16.25.1. То есть при подключении клиента к PPTP VPN автоматически назначается именно это адрес для сервера Mikrotik.
В строке Remote Address указываю IP адрес или пул адресов для клиентов внутри VPN. Так как я буду подключать больше одного клиента к VPN, то создам пул из той же подсети.
Переходим в нужный нам раздел IP-Pool.
Создаю пул, нажатием плюс. Задаю имя PPTP-VPN-Clients и задаю IP адреса 172.16.25.10-172.16.25.20 в строке Address.
Нажимаем Apply и Ok. Проверяем, создался ли наш пул. Если все хорошо, то возвращаемся к созданию PPTP профайла.
В строке Remote Address выпадающего списка, стал доступен наш пул. Выбираем его.
Приведем свежующие параметры к такому виду:
- переключаем Change TCP MSS в yes;
- параметр Use UPnP переключаем в no.
Снова рекомендация, никогда не оставляйте default если хотите, чтобы все работало именно так как, вы планируете.
Переходим в Protocols и изменяем:
- Ставим no для Use MPLS;
- Ставим yes для Use Compression;
- Ставим yes для Use Encryption.
Далее в Limits указываем no для Only One. Остальные настройки можно не задавать. К примеру, если бы нужно было ограничить скорость клиента в VPN, то нас интересовала вкладка Queue – но это совсем другая история.
Теперь можно сохранять. Жмем Apply и OK
В списке должен появиться наш созданный профайл.
Нам осталось включить PPTP сервер на Mikrotik и настроить Firewall. Нас интересует PPTP в меню Interface.
Ставим галочку Enabled.
Выбираем в Default Profile наш созданный PPTP-General-Profile.
Authentication — для более безопасной проверки подлинности рекомендую использовать только mschap2. Мы отключаем все другие протоколы проверки подлинности, но будьте осторожны, т.к. некоторые устройства могут не поддерживать протокол MS-CHAPv2.
Жмем Apply и OK.
Настройка Firewall для PPTP Сервера
На этом еще не все, нам осталось настроить Firewall. Если ваш роутер с пустой конфигурацией, то делать ничего не нужно. Если у вас есть запрещающие правила входящего трафика, то нужно внести некоторые изменения.
Внимание, если вы используете default config, то правила вносить необходимо.
Переходим в Firewall. (IP-Firewall), выбираем Filter Rules и жмем плюс.
В окне создания New Firewall Rule выбираем цепочку input, поскольку трафик будет идти именно на роутер (входящий трафик).
Protocol выбираем gre.
Connection State ставим галочку new.
Далее идем во вкладку Action и в параметре Action проверяем чтобы значение было на accept.
Нажимаем Apply и OK.
Создаем еще одно. Нажимаем плюс. Все параметры остаются такие же, за исключением параметров Protocol и Dst.port.
Protocol выбираем tcp
Dst.port 1723.
Сохраняем и проверяем.
Все на месте. Обязательно после сохранения переместите их выше блокирующих, это значит если у вас есть блокирующее правило входящего трафика в цепочке input, то последние два нужно поднять.
Для удобства подпишем их одним комментарием.
Теперь понятно, что это за правила, в какой цепочке и для чего нужны.
Пару слов про блокировку GRE. Некоторые товарищи все же блокируют его, но как понять, доходит ли пакеты до нас?
Расскажу маленькую хитрость. В каждом правиле firewall есть счетчик, они называются Bytes и Packets.
Если в процессе подключения эти счетчики не изменяются, значит пакеты просто не доходят до вашего роутера. В подобных ситуациях нужно пробовать другие протоколы VPN. В следующий статье мы расмотрим настройку и подключение клиента к нашему PPTP серверу на оборудование микротик.
89 вопросов по настройке MikroTik
Вы хорошо разбираетесь в Микротиках? Или впервые недавно столкнулись с этим оборудованием и не знаете, с какой стороны к нему подступиться? В обоих случаях вы найдете для себя полезную информацию в курсе «Настройка оборудования MikroTik». 162 видеоурока, большая лабораторная работа и 89 вопросов, на каждый из которых вы будете знать ответ. Подробности и доступ к началу курса бесплатно тут.
Как настроить PPTP VPN Server (+ видео)
Введите проблему в строку поиска или выберите категорию базы знаний
База знаний / Облачный маршрутизатор MikroTik Самые просматриваемые cPanel Хостинг Специальные серверы Общий KVM-конкретный Облачный маршрутизатор MikroTik Резервное копирование R1soft Сервис VPS (KVM и OpenVZ) Вордпресс / MikroTik CHR: Как настроить PPTP VPN-сервер (+ видео)
Краткое руководство по настройке Mikrotik CHR в качестве сервера PPTP VPN.
Вот небольшое видео, объясняющее процесс:
Для VPN-сервера L2TP — проверьте конец этой статьи!
Как через интерфейс командной строки, так и через WinBox:
1. Добавить пул IP-адресов, которые будут использоваться с этой службой
[[email protected]] > ip pool add name=PPTP-Pool ranges=192.168.99.10 -192.168.99.200
2. Создайте «Профиль»
[[электронная почта защищена]] > профиль ppp add change-tcp-mss=yes local-address=PPTP-Pool name=PPTP-Profile only-one =yes удаленный-адрес=шифрование использования PPTP-пула=yes dns-server=8.8.8.8,8.8.4.4
3. Создайте «Секреты» для пользователей/компьютеров, которые будут иметь доступ к VPN.
[[email protected]] > ppp secret add name=user1 [email protected] profile=PPTP-Profile
4. Включить PPTP-сервер
[[email protected]] > интерфейс pptp-server server set authentication=chap,mschap1,mschap2 default-profile=PPTP-профиль включен=yes
5. Принимать входящие соединения в брандмауэре:
[[email protected]] > ip firewall filter add chain=input comment="PPTP VPN" dst-port=1723 protocol=tcp
6. Включение NAT в брандмауэре для доступа в Интернет:
[[email protected]] > ip firewall nat add chain=srcnat out-interface=ether1 action=masquerade
Дополнительные настройки:
73 Настройка на основе пользовательского интерфейса. "звонящий"
При этом вы сможете при необходимости установить интерфейс привязки в правилах брандмауэра и применить определенные политики к интерфейсу/пользователю
[[email protected]] > интерфейс pptp-server add name=pptp-user1 user=user1
Теперь ваш маршрутизатор MikroTik готов обслуживать соединения PPTP VPN!
Если вы хотите узнать Как настроить L2TP VPN-сервер. VPN-сервер для устройств Apple - Iphone, MacBook. Пожалуйста, перейдите по этой ссылке:
https://www.bgocloud.com/knowledgebase/63/mikrotik-chr-how-to-setup-l2tp-vpn-server-vpn-server-for-apple-devices-iphone-macbook-video.html
Подробнее о PPTP в MikroTik RouterOS Здесь .
Взгляните на наши мощные VPS-серверы MikroTik и выберите подходящий план для начала работы.
Воспользуйтесь преимуществами MikroTik CHR VPS без покупки лицензии. Выберите наш «Лицензионный» план и сэкономьте деньги.
Начни!
Лицензирование MikroTik CHR
CHR имеет 4 уровня лицензий: бесплатно p1 вечный-1 (45 долларов США) p10 вечный-10 ($95) p-неограниченно. ..
MikroTik CHR: получение лицензии
После первоначальной настройки экземпляру CHR будет назначена бесплатная лицензия. Оттуда это...
MikroTik CHR: настройка безопасного доступа VPN между клиентом и сервером
В этом руководстве описывается одно из многих возможных применений MikroTik CHR и Virtual Private...
MikroTik CHR: первый запуск и пароль по умолчанию
Здравствуйте! Благодарим вас за покупку одного из наших облачных маршрутизаторов MikroTik. Как и любой другой MikroTik...
Настройка PPTP (VPN) сервера на Mikrotik — IT Blog
Сначала опишу первый простой вариант настройки PPTP (VPN) сервера на Микротике через веб-интерфейс или Winbox. В этом варианте к серверу может подключаться только один клиент.
1) Активируем сервер, открыв меню «PPP» — «PPTP Server», где ставим галочку «Enabled».
2) Добавьте параметры подключения к серверу, для этого откройте "PPP" - "Секреты" и добавьте:
Имя: USERNAME
Пароль: ПАРОЛЬ
Сервис: pptp
Локальный адрес: внутренний IP роутера, например 192. 168.88.1
Удаленный адрес: IP-адрес, назначаемый клиенту, например. 192.168.88.2
нажмите ОК.
3) Добавьте правило в брандмауэр, чтобы можно было подключаться к серверу извне, для этого откройте меню «IP» — «Брандмауэр» и во вкладке «Правила фильтра» добавьте правило:
Цепь: ввод
Дст. Адрес: внешний IP-адрес маршрутизатора
Протокол: tcp
Dst. Порт: 1723
В. Интерфейс: порт WAN маршрутизатора, например ether1-gateway
. Действие: примите
, нажмите «ОК», на этом простая настройка завершена.
Теперь опишу вариант настройки из командной строки. Многие клиенты могут подключаться к серверу и получать IP-адреса через DHCP.
Включение сервера pptp:
интерфейс pptp-server server set enabled=yes
Просмотр настроек сервера pptp:
интерфейс pptp-сервер сервер печать
Добавление интерфейса сервера pptp:
интерфейс pptp-server server add add name=pptpserver user=ИМЯ ПОЛЬЗОВАТЕЛЯ
Установка пула адресов, которые будут выдаваться подключенным пользователям:
ip pool add name="pptp-pool" ranges=172. 20.1.10/28
Добавление профиля для сервера pptp:
профиль ppp добавить имя = "pptp" локальный адрес = 172.20.1.11 удаленный адрес = использование пула pptp-compression = не использовать-vj-сжатие = не использовать-шифрование = только по умолчанию-один = изменение по умолчанию-tcp-mss = да
Добавление данных аутентификации:
ppp secret add name="USERNAME" service=pptp caller-id="" password="PASSWORD" profile=pptp
Также необходимо включить TCP-трафик на порт 1723 извне и включить GRE.
Для этого добавляем первое правило, chain=input, protocol=tcp, Dst.Port=1723, action=accept.
И второе, цепочка = ввод, протокол = gre, действие = принять.
Эти два правила должны быть размещены перед стандартными запрещающими правилами, иначе они не будут работать.
В параметрах созданного VPN-подключения в Windows необходимо выбрать тип PPTP и шифрование «необязательно, будут подключаться и без шифрования».
Немного полезной информации:
PAP (Password Authentication Protocol) — протокол аутентификации, который проверяет имя и пароль.