Главная » Разное » Mikrotik настройка pppoe

Mikrotik настройка pppoe


Настройка PPP интерфейсов и серверов в Mikrotik — asp24.ru

В Mikrotik ROUTER OS, как и во всех маршрутизаторах mikrotik - будь-то Mikrotik RouteBoard RB493AH или Mikrotik RouterBoard 750G,  под PPP отвели целый раздел.

 

 Рис. 1. PPP интерфейсы.

PPP Server и PPP Client

PPP (англ. Point-to-Point Protocol) – протокол точка – точка.

С его помощью можно организовать связь между двумя узлами. Но протокол уже не новый и в ETHERNET сетях не применяется.

Ethernét — технология передачи данных, основанная на передаче пакетов между узлами. Её используют мобильные операторы для подключения пользователя к мобильному интернету..

 

PPTP Server и PPTP Client

Вот это по нашей части. PPTP (англ. Point-to-point tunneling protocol)  - тоже протокол точка – точка, но туннельный. С его помощью можно создать защищенное соединение с сервером посредством создания специального туннеля в стандартной, незащищённой сети. Очень часто используется в ETHERNET сетях для предоставления доступа в Интернет.

 

L2TP Server и L2TP Client

L2TP (англ. Layer 2 Tunneling Protocol) — это сетевой протокол сочетающий в себе два протокола: L2F (разработчик Cisco) и PPTP (разработчик Microsoft).

 

OVPN Server  и OVPN Client

OpenVPN – это свободная реализация VPN (в отличии от PPTP и L2TP). Не поддерживается OS Windows по умолчанию. Придётся скачивать дополнительное ПО.

 

PPPoE Server и PPPoE Client

PPPoE (англ. Point-to-point protocol over Ethernet) – ещё один сетевой протокол, протокол канального уровня.

Перейдём к настройкам. Так как самые распространенные протоколы - это PPTP и PPPoE, то для них и будем настраивать сервер и клиент.

Переходим к настройке PPPoE Server-а.

 

 Рис. 2. Включаем PPPoE сервер.

 

Для того чтобы включить PPPoE сервер в Mikrotik, необходимо перейти на вкладку PPPoE Server и, как обычно, нажать плюс. После чего появится окно настроек PPPoE Server-a.

 

Service Name  - здесь можно оставить без изменений, или ввести свое название.

Interface – выбираем интерфейс, на котором PPPoE Server будет ожидать подключения от PPPoE Client. Обычно, это сетевой адаптер, который смотрит в локальную сеть.

Max MTU – без изменений.

Max MRU - без изменений.

MRRU - без изменений.

Keepalive Timeout - без изменений.

Default Profile – по умолчанию в Mikrotik ROUTER OS можно выбрать два профиля. Выберем default.

One Session Per Host и Max Sessions – тоже оставим без изменений.

 

Переходим к Authentication.

Authentication – это протоколы проверки подлинности.

PAP (англ. Password Authentication Protocol) — протокол проверки подлинности, проверяет верны ли отправленные имя и пароль на сервер удалённого доступа.

CHAP (англ. Challenge Handshake Authentication Protocol) — широко распространённый протокол, в нём серверу передается не сам пароль пользователя, а косвенные сведения о нём.

MS-CHAP (англ. Microsoft Challenge Handshake Authentication Protocol) — протокол от разработчиков Microsoft для выполнения проверки подлинности удалённых компьютеров.

Если вы уверенны, что будете использовать только один протокол, то лишние можно убрать, если же нет - то оставляем без изменений.  Нажимаем ОК. PPPoE Server готов!

 

 Рис. 3. Список PPPoE Серверов.

 

Вот мы и настроили наш PPPoE Server, это оказалось совсем не сложно. Как обычно, благодаря  Mikrotik Router OS у нас есть возможность быстро настроить на маршрутизаторе нужную нам функцию. Хоть Mikrotik Router OS и основана на ОС Linux, если бы мы настраивали PPPoE Server не на Mikrotik Router OS, а на любой другой ОС Linux - мы бы так легко не отделались.

 

PPTP Client

 

 Рис. 4. Добавляем PPTP Client.

 

Чтобы добавить PPPTP Client, выполняем все те же простые действия. Нажимаем плюс и в появившемся списке интерфейсов выбираем PPTP Client.

 

 Рис. 5. PPTP Client General.

 

В появившемся окне, если есть желание, можно изменить параметр NAME; остальное оставляем без изменений и переходим на вкладку Dial Out.

 

Рис. 6. PPTP Client Dial Out.

 

На вкладке Dial Out в поле Connect To нужно ввести IP адрес PPTP сервера. User и Password – это логин и пароль для подключения к серверу. Все остальное можно оставить так, как есть. Единственное, что еще стоит сделать, это поставить галочку напротив Add Default Route. Это избавит нас от необходимости прописывать маршрут вручную. Нажимаем Apply, смотрим: если в нижнем правом углу статус стал connected, значит мы всё сделали верно.

 

PPTP Server

 

PPTP Server – настраивается также просто, как и PPPOE Server.

 

 Рис. 7. Новый PPTP Server.

 

Жмём кнопку PPTP Server.

 

 Рис. 8. Окно настройки PPTP сервера.

 

В появившемся окне ставим галочку напротив Enabled, жмем ОК. Всё, сервер настроен.

Теперь нужно добавить пользователей для нашего сервера. Переходим в раздел Secrets.

 

Рис.9. Добавляем пользователя.

 

Тут всё просто: Name – имя пользователя, Password – пароль. Выбираем профиль или оставляем без изменения. Например, если мы выбрали подсеть 172.16.1.0/24, то Local Address для всех пользователей будет одинаковый 172.16.1.1, а Remote Address у каждого свой. Вот и всё.

 

Евгений Рудченко специально для asp24

Настройка роутера MikroTik hAP Lite TC

Честно признаюсь, что до недавней поры я вообще не был знаком с маршрутизаторами от MikroTik. Что-то слышал, читал, и все время думал, что это какие-то сетевые устройства для профессионалов. Сложная настройка, много функций и все такое. Но увидел в продаже недавно несколько моделей MikroTik. Решил купить MikroTik hAP Lite TC, чтобы самому посмотреть, настроить его, и рассказать об этом вам.

В этой инструкции я покажу как настроить MikroTik hAP Lite TC. Используя это руководство, вы сможете настроить практически любой маршрутизатор MikroTik RouterBOARD. Сама RouterOS, на которой работают устройства этого производителя на первый взгляд очень сложная. На самом деле, она сложная не только на первый взгляд 🙂 Там реального много разных разделов, настроек и т. д. На моем роутере сама система RouterOS на английском языке. Как я понимаю, там нет возможности сменить язык настроек на русский. Но, если разобраться, то понимаешь, что для обычной настройки MikroTik вообще не нужно лазить по каким-то там разделам, что-то искать и т. д. Там все самые необходимые и важные настройки находятся на одной странице. Которая открывается сразу после входа в панель управления. Сейчас мы все это рассмотрим подробнее.

Хочу еще сказать несколько слов о самом роутере MikroTik hAP Lite TC. Устройство мне понравилось. Корпус из качественного пластика, хоть и немного воняет. Недорогой, прикольный, судя по всему мощный и очень функциональный. Но весь этот функционал не нужен большинству пользователей. Прикольно, что питание от microUSB. Можно записать даже от USB-порта компьютера, или повербанка. Или без проблем найти другой адаптер питания, если родной сломается. Не понравилась очень скучная упаковка, совсем непонятная инструкция по настройке (на английском языке), и что самое главное – отсутствие сетевого кабеля в комплекте. Такие они, маршрутизаторы MikroTik RouterBOARD. По крайней мере модель hAP Lite TC.

Судя по той инструкции, которая идет в комплекте, данное руководство должно пригодится многим. Что касается MikroTik, то здесь я полный чайник. Так что инструкция, как вы понимаете, для таких же чайников как я 🙂

Подключение роутера MikroTik и подготовка к настройке

Чтобы задать все необходимые параметры, нам сначала нужно подключится к маршрутизатору и подключить к нему интернет. Так как сетевого кабеля в комплекте нет, то вы скорее всего будете подключатся к нему по Wi-Fi сети. Настроить можно не только с ноутбука, или ПК. Можно использовать планшет, телефон, или другое устройство.

Сначала подключите адаптер питания и включите его в розетку. Так же сразу можете подключить к MikroTik интернет (сетевой кабель от провайдера, или модема). В порт Internet.

Если у вас есть сетевой кабель, и нет возможности подключится по Wi-Fi, то просто подключите один конец кабеля в LAN порт роутера, а второй в порт сетевой карты вашего компьютера.

Дальше просто подключаемся к открытой Wi-Fi сети, в названии которой есть "MikroTik".

Выглядит это вот так:

Доступа к интернету сразу может не быть. Мы еще не настроили подключение маршрутизатора к провайдеру. Это нормально. Переходим к настройке.

Настройка MikroTik на примере модели hAP Lite TC

Чтобы зайти в настройки роутера, нужно в любом браузере перейти по адресу 192.168.88.1. Подробнее об этом я писал в статье: 192.168.88.1 – вход на роутер MikroTik (RouterOS). Сразу должна открыться панель управления RouterOS (в моем случае версии v6.34.2). Проверьте, чтобы роутер работал в режиме "Home AP".

Как я уже писал выше, все базовые настройки можно задать прямо на главной странице "Quick Set". Она разделена на блоки. Настроить нам нужно следующее:

  1. Подключение к интернету (Internet).
  2. Wi-Fi сеть (Wireless).
  3. Установить пароль на защиту панели управления (System).

Этих настроек вполне достаточно в большинстве случаев.

Настройка интернета на MikroTik (Динамический IP, PPPoE)

Важный момент! Если интернет у вас уже работает через маршрутизатор, то скорее всего ваш провайдер использует тип подключения Динамический IP, и дополнительная настройка не нужна. Так как тип подключения "Automatic" стоит по умолчанию. Можете сразу настраивать Wi-Fi сеть.

У вас должна быть информация о типе подключения, которое использует ваш интернет-провайдер. А так же все необходимые данные для подключения к интернету (если у вас НЕ динамический IP). Так же желательно сразу выяснить, делает ли провайдер привязку по MAC-адресу.

Значит так, если у вас тип подключения "Динамический IP", без привязки по MAC-адресу, то все сразу должно работать. Если есть привязка по MAC-адресу, то вам нужно либо прописать у провайдера MAC-адрес роутера (он указан в поле MAC Address), или же посмотреть MAC-адрес компьютера к которому привязан интернет и прописать его в поле "MAC-адрес" в настройках роутера.

Не забудьте сохранить настройки, нажав на кнопку "Apply Configuration" (в правом нижнем углу).

Настройка PPPoE

Выделяем тип подключения PPPoE, задаем имя пользователя и пароль (их выдает провайдер) и нажимаем на кнопку "Reconnect". Роутер должен подключится к интернету. Если все хорошо, то переходите к настройке Wi-Fi сети. Об этом ниже в статье.

А вот подключения по PPTP почему-то не добавили в этот список. Наверное потому, что он не очень популярный. Но тем не менее, некоторые провайдеры его используют.

Настройка L2TP/PPTP

Сначала в разделе "PPP" нужно добавить "PPTP Client".

Дальше задаем адрес сервера (Connect To), имя пользователя (User) и пароль (Password). Эти данные выдает провайдер. Ставим галочку возле "Add Default Route". Затем сохраняем профиль нажав на кнопку "Apply" и "Ok".

Друзья, я не уверен, что инструкция по настройке PPTP правильная. К сожалению, нет возможности это проверить. Если я что-то написал не так, пожалуйста, поправьте меня в комментариях.

Настройка Wi-Fi сети и пароля на MikroTik hAP Lite TC

На этой же странице нас интересует раздел "Wireless". Он слева.

В поле "Network Name" меняем имя Wi-Fi сети. В выпадающем меню "Country" желательно указать свой регион, и в поле "WiFi Password" задаем пароль (минимум 8 символов), который будет использоваться при подключении к Wi-Fi сети.

Ниже можно настроить гостевую Wi-Fi сеть, и посмотреть список подключенных по Wi-Fi клиентов.

Запомните, или запишите пароль от Wi-Fi. Можете сохранить настройки кнопкой "Apply Configuration", или установите сразу пароль на защиту настроек.

Пароль на web-интерфейс RouterOS

Мы когда переходили по адресу 192.168.88.1, то панель управления открылась сразу. В нее сможет зайти каждый, кто подключен к роутеру по Wi-Fi сети, или по кабелю. Чтобы ее защитить, нужно установить пароль.

На главной странице, в правом нижнем углу, в разделе "System", в поле "Password" и "Confirm Password" придумайте и укажите пароль. Сохраните настройки нажав на "Apply Configuration" .

Вас "выкинет" из системы. И чтобы снова зайти в настройки, нужно указать пароль, который вы установили. Имя пользователя – admin. Теперь авторизоваться нужно будет при каждом входе в RouterOS.

Постарайтесь не забыть пароль, а то придется сбрасывать настройки своего роутера MikroTik и настраивать все заново.

Послесловие

Заранее извиняюсь, если где-то ошибся в инструкции. Нет возможности все проверить на себе. Например, подключение по PPPoE, или PPTP. Нужен провайдер, который использует определенный протокол.Сама настройка мне показалась даже проще, чем у популярных производителей с более дружелюбным интерфейсом. Соглашусь, что настроить например фильтрацию по MAC-адресам, блокировку сайтов, ограничение скорости и другие функции там будет сложновато. Нужно разбираться.

Долго не мог понять, как работает сама система RouterOS. И я понял. Она работает "четко". Да, настроек там много. Но все быстро открывается, сохраняется, удаляется и т. д. Ничего не висит, и не перезагружается по несколько раз.

Оставляйте комментарии, делитесь полезными советами и задавайте вопросы!

Настройка VPN через MikroTik — PPtP и PPPoE

VPN-туннели — распространенный вид связи типа «точка-точка» на основе стандартного интернет-соединения через роутеры MikroTik. Они представляют собой, по сути «канал внутри канала» — выделенную линию внутри основной.

Необходимость настройки туннельного VPN-соединения на MikroTik возникает в случаях, когда:

  • Требуется предоставить доступ к корпоративной сети сотрудникам предприятия, которые работают из дома, или находясь в командировке, в том числе с мобильных устройств.
  • Требуется предоставить доступ в интернет абонентам провайдера (в последнее время такая реализация доступа клиентов становится все более популярной).
  • Необходимо соединить два удаленных подразделения предприятия защищенным каналом связи с минимальными затратами.   

В отличие от обычной сети, где данные передаются открыто и в незашифрованном виде, VPN является защищенным каналом связи. Уровень защиты зависит от типа туннельного протокола, выбранного для соединения. Так, наименее защищенным считается протокол PPtP, даже его «верхний» алгоритм аутентификации mschap2 имеет ряд проблем безопасности и легко взламывается. Наиболее безопасным считается набор протоколов IPsec.

Многие модели MikroTik не поддерживают аппаратное шифрование, и обработка всех процессов, связанных с защитой соединения происходит на уровне CPU. Если безопасность соединения не является для вас критичным моментом, а производительность используемого роутера оставляет желать лучшего, то отключение шифрования можно использовать для разгрузки процессора. 

Выбор протокола для VPN на MikroTik

Для настройки соединения по VPN через MikroTik чаще всего используются следующие протоколы:

  • PPtP,
  • PPPoE,
  • OpenVPN,
  • L2TP,
  • IPSec.

Рассмотрим настройку подключения VPN с помощью двух из них, как наиболее часто встречающихся в работе провайдера и системного администратора: PPtP и PPPoE.

VPN через PPtP на MikroTik

PPtP — самый распространенный протокол VPN. Представляет собой связку протокола TCP, который используется для передачи данных, и GRE — для инкапсуляции пакетов. Чаще всего применяется для удаленного доступа пользователей к корпоративной сети. В принципе, может использоваться для многих задач VPN, однако следует учитывать его изъяны в безопасности.

Прост в настройке. Для организации туннеля требуется:

  • создать на роутере MikroTik, через который пользователи будут подключаться к корпоративной сети, PPtP-сервер,
  • создать профили пользователей с логинами/паролями для идентификации на стороне сервера,
  • создать правила-исключения Firewall маршрутизатора, для того, чтобы подключения беспрепятственно проходили через брандмауер. 

Включаем PPtP сервер.

Для этого идем в раздел меню PPP, заходим на вкладку Interface, вверху в перечне вкладок находим PPTP сервер и ставим галочку в пункте Enabled.

Снимаем галочки с наименее безопасных алгоритмов идентификации — pap и chap.

Создаем пользователей.   

В разделе PPP переходим в меню Secrets и с помощью кнопки «+» добавляем нового пользователя.

В полях Name и Password прописываем, соответственно логин и пароль, который будет использовать пользователь для подключения к туннелю.

В поле Service выбираем тип нашего протокола — pptp, в поле Local Address пишем IP-адрес роутера MikroTik, который будет выступать в роли VPN-сервера, а в поле Remote Address — IP-адрес пользователя.

Прописываем правила для Firewall. 

Нам нужно открыть 1723 порт для трафика по TCP-протоколу для работы VPN-туннеля MikroTik, а также разрешить протокол GRE. Для этого идем в раздел IP, потом — в Firewall, потом на вкладку Filter Rules, где с помощью кнопки «+» добавляем новое правило. В поле Chain указываем входящий трафик — input, в поле Protocol выбираем протокол tcp, а в поле Dst. Port — указываем порт для VPN туннеля 1723.

Переходим здесь же на вкладку Action и выбираем accept — разрешать (трафик).

Точно также добавляем правило для GRE. На вкладке General аналогично предыдущему прописываем input, а в поле Protocol выбираем gre. 

На вкладке Action как и в предыдущем правиле выбираем accept.

Не забываем поднять эти правила в общем списке наверх, поставив ПЕРЕД запрещающими правилами, иначе они не будут работать. В RouterOS Mikrotik это можно сделать перетаскиванием правил в окне FireWall.

Все, PPtP сервер для VPN на MikroTik поднят. 

Небольшое уточнение.

В некоторых случаях, когда при подключении необходимо видеть локальную сеть за маршрутизатором, нужно включить proxy-arp в настройках локальной сети. Для этого идем в раздел интерфейсов (Interface), находим интерфейс, соответствующий локальной сети и на вкладке General в поле ARP выбираем proxy-arp.

Если вы подняли VPN между двумя роутерами MikroTik и вам необходимо разрешить передачу broadcast, можно попробовать добавить существующий профиль подключения (PPP — Profiles) удаленного роутера в бридж главногою

Если вам дополнительно нужно получить доступ к расшаренным папкам на компьютерах локальной сети, понадобится также открыть порт 445 для проходящего трафика SMB-протокола, который отвечает за Windows Shared. (Правило forward в брандмауере). 

Настройка клиента.

На стороне VPN-клиента настройки состоят только в том, чтобы создать подключение по VPN, указать IP-адрес VPN (PPtP) сервера, логин и пароль пользователя.

VPN через PPPoE на MikroTik

Своей распространенностью в последнее время VPN по протоколу PPPOE обязан провайдерам, предоставляющим широкополосный, в т. ч. беспроводной доступ в интернет. Протокол предполагает возможность сжатия данных, шифрования, а также характеризуется:

  • Доступностью и простотой настройки.
  • Поддержкой большинством маршрутизаторов MikroTik.
  • Стабильностью.
  • Масштабируемостью.
  • Устойчивостью зашифрованного трафика к ARP-спуфингу (сетевой атаке, использующей уязвимости протокола ARP).
  • Меньшей ресурсоемкостью и нагрузкой на сервер, чем PPtP.

Также его преимуществом является возможность использования динамических IP-адресов: не нужно назначать определенный IP конечным узлам VPN-туннеля. Подключение со стороны клиента осуществляется без сложных настроек, только по логину и паролю.

Настройка VPN-сервера PPPoE MikroTik 

Настраиваем профили сервера.

Несколько профилей PPPoE-сервера могут понадобиться, если вы провайдер и раздаете интернет по нескольким тарифным пакетам. Соответственно, в каждом профиле можно настроить разные ограничения по скорости.

Идем в раздел PPP, открываем пункт Profiles  и с помощью кнопки «+» создаем новый профиль. Даем ему понятное нам название, прописываем локальный адрес сервера (роутера), отмечаем опцию Change TCP MSS (корректировку MSS), для того, чтобы все сайты нормально открывались.

Кстати, в некоторых случаях, когда возникают проблемы с открытием некоторых сайтов, при том, что пинги на них проходят, можно сделать по-другому. Корректировку MSS отключаем, а через терминал прописываем на роутере следующее правило:

«ip firewall mangle add chain=forward protocol=tcp tcp-flags=syn tcp-mss=1453-65535 action=change-mss new-mss=1360  disabled=no»

В большинстве случаев это решает проблему. Далее на вкладке Protocols все отключаем, для улучшения производительности. Если защищенность соединения для вас важна и производительность маршрутизатора позволяет, то опцию Use Encryption (использовать шифрование) не отключайте.

На вкладке Limits устанавливаем ограничения по скорости, если нужно. Первая цифра в ограничении скорости  — входящий трафик на сервер (исходящий от абонента), вторая — наш исходящий трафик (входящий у абонента).

Ставим Yes в пункте Only One, это значит, что два и более абонентов с одним и тем же набором логин/пароль не смогут подключиться к  PPPoE-серверу, только один.

Теперь, если необходимо, создаем остальные профили простым копированием (кнопка Copy на предыдущем скриншоте) и меняем имя и ограничение по скорости. 

Создаем учетные записи пользователей.

В том же разделе PPP находим пункт меню Secrets. В нем с помощью кнопки «+» создаем нового пользователя, который будет подключаться к нам по VPN-туннелю.

Заполняем поля Name и Password (логин и пароль, который будет вводить пользователь со своей стороны, чтобы подключиться).

В поле Service выбираем pppoe, в Profile — соответствующий профиль, в данном случае — тарифный пакет, которым пользуется абонент. Присваиваем пользователю IP-адрес, который при подключении сервер раздаст абоненту.

Если подключаем несколько пользователей, создаем для каждого из них отдельную учетную запись, меняя имя/пароль и IP-адрес. 

Привязываем PPPoE сервер к определенному интерфейсу MikroTik.

Теперь нам необходимо сообщить маршрутизатору, на каком интерфейсе он должен «слушать» входящие подключения от VPN PPPoE клиентов. Для этого в разделе PPP мы выбираем пункт PPPoE Servers. Здесь мы меняем:

Поле Interface — выбираем тот интерфейс, к которому будут подключаться клиенты,

  • Keepalive Timeout — 30 секунд (время ожидания ответа от клиента до разрыва соединения)
  • Default Profile — профиль, который будет присваиваться подключаемым абонентам по умолчанию,
  • Ставим галку в One Session Per Host, тем самым разрешая подключение только одного туннеля с маршрутизатора клиента или компьютера.
  • Галочки в разделе аутентификации оставляем/снимаем по усмотрению.   

Настраиваем NAT для доступа клиентов в интернет.

Мы подняли PPPoE сервер и теперь к нему могут подключаться авторизованные пользователи. Если нам нужно, чтобы подсоединившиеся по VPN туннелю пользователи имели доступ в интернет, нужно настроить NAT (маскарадинг), или преобразование локальных сетевых адресов.

В разделе IP выбираем пункт Firewall и с помощью кнопки «+» добавляем новое правило.

В поле Chain должно стоять srcnat, что означает, что маршрутизатор будет применять это правило к трафику, направленному «изнутри наружу».

В поле Src. Address (исходный адрес) прописываем диапазон адресов 10.1.0.0/16. Это означает, что все клиенты с адресами 10.1. (0.0-255.255) будут выходить в сеть через NAT, т. е. мы перечисляем здесь всех возможных абонентов.

В поле Dst. Address (адрес назначения) указываем !10.0.0.0/8 — диапазон адресов, означающий собственное адресное пространство для частных сетей, с восклицательным знаком впереди. Это указывает роутеру на исключение — если кто-то из локальной сети обращается на адрес в нашей же сети, то NAT не применяется, соединение происходит напрямую.

А на вкладке Action прописываем, собственно, действие маскарадинга — подмены локального адреса устройства на внешний адрес роутера.

Настройка VPN-клиента PPPoE

Если на той стороне VPN туннеля подключение будет происходить с компьютера или ноутбука, то просто нужно будет создать высокоскоростное подключение через PPPoE в Центре управления сетями и общим доступом (для Win 7, Win 8). Если на второй стороне — тоже роутер Mikrotik, то подключаем следующим образом. 

Добавляем PPPoE интерфейс.

На вкладке Interface выбираем PPPoE Client  и с помощью кнопки «+» добавляем новый интерфейс.

Здесь в поле Interface мы выбираем тот интерфейс роутера Mikrotik, на котором мы организуем VPN-туннель. 

Прописываем настройки подключения.

Далее переходим на вкладку Dial Out и вписываем логин и пароль для подключения к VPN туннелю PPPoE.

Ставим галочку в поле Use Peer DNS — для того, чтобы адрес DNS сервера мы получали с сервера VPN (от провайдера), а не прописывали вручную.

Настройки аутентификации (галочки в pap, chap, mschap1, mschap2) должны быть согласованы с сервером.

Настройка Mikrotik PPPoE / PPTP / L2TP: iron_fr5 — LiveJournal

source: http://housecomputer.ru/devices/switch/mikrotik/setting/settings_ppp_mikrotik.html

Предварительно настройте ваши интерфейсы и VLAN а также дайте нужные IP и настройте маршрутизацию.

Для начала выключим систему мониторинга всех интерфейсов, для этого нажмите Tools->Graphing , выберете all и нажмите на минус. Теперь вы удалили графики для всех интерфейсов. для тех которые Вам нужны , добавте их персонально. Это освободит "много" ресурсов системы от ненужной нагрузки.

В разделе IP->DNS  нажмите на "Settings" и укажите ваш DNS сервер, так же разрешите запросы от клиентов, если вам это необходимо, укажите размер DNS кеша.

Используя утилиту Tools->Ping проверте доступность интернет, биллинга и других узлов, какие должен видеть ваш NAS

Откройте окно  IP-> Service ,в нем активируйте сервисы которые вам понадобятся, ниже приведен необходимый минимум сервисов для обычной работы.
Выделив и нажав правую кнопку мыши вы можете их активировать.

Откроем System->Clock  и  укажите ваш часовой пояс и текущее время.

После настройки интернета, активируйте систему NTP для синхронизации времени.
Откройте System->NTP Client
Включите службу, выберете mode unicast и укажите сервер как на скриншоте.

Важный момент работы служб Mikrotik.
Из-за большого количества скан-ботов в интернете и постоянных подборов паролей, службы управления Mikrotik (кроме winbox) могут зависать, что весьма не желательно для работы.

Рекомендуется разрешить полный доступ для ваших IP (биллинг и другие узлы) в первых правилах цепочки input.
И следом за ним сделать DROP на портах TCP 21,22,23,8728 для всех хостов.

Ниже пример подобной настройки.

Откроем окно Queues. Переходим во вкладку Queue Types.
Далее открываем по очереди тип щейпера - "default" и "default-small" и меняем тип очереди на SFQ как показано ниже.

Открываем вкладку Radius и жмем на "+" как указано ниже.

В появившемся окне поставте галочку на услуге PPP (для PPPoE / PPTP / L2TP)  или же  HotSpot (для доступа по IP из локалки или же WIFI)

Укажите в графе address - IP биллинговой машины.
Секрет - этот же секрет вы укажите в настройке NAS-сервера в "админке" биллилнга.
Timeout - для одного сервера поставте 10000.
Если у вас несколько серверов с radius то укажите для каждого timeout пропорционально 10000 поделив на количество radius серверов для каждого сервера.

После добавления сервера настром входящие соединения от Radius.
Нажмем на "Incoming".
Включим службу и укажим порт, после версии 3.22 порт стал не 1700 а 3799.
По умолчанию в биллинге указан порт 3799.
В соотвествии с этим в настройках NAS-сервера в "админке" биллинга укажите тот же самый порт.

Взаимодействие с биллилнгом у вас уже настроено, осталось теперь настроить службу для доступа абонентов.
Если хотите сделать HotSpot, то на данном этапе перейдите к инструкции по настройке доступа по IP / HotSpot.

Доступ по PPPoE / PPTP / L2TP

Открываем окно PPP
Нажимаем на "PPTP Server" или "L2TP Server" или другой сервер по вашему желанию.
Ниже приведен пример PPTP и L2TP c использованием профиля с шифрованием данных.
Чтобы отключить шифрование выберете профиль "default" и отключите типы авторизации mschap1 и mschap2

Добавление PPPoE сервиса.
Переходим во вкладку PPPoE Servers
указываем имя сервиса.
Выбираем интерфейс на котором будет доступен сервис.
Обычно для этой услуги используют доступ без шифрования, ниже подобный пример.

Переходим во вкладку Secrets
Нажимаем на "PPP Authentication & Accounting" и делаем как на скриншоте.

Осталось настроить профили и уже можно будет использовать Ваш сервер доступа.
Переходим к вкладке Profiles
Открываем профили "default" и "default-encryption".
На вкладке General в профиле обязательно указать

ВНИМАНИЕ

Local Address - этот IP должен быть уникальным в вашей сети, и не быть связаным ни с каким блоком адресов в вашей сети.
Например  локальная сеть из блока 10.0.0.0/8 , серые адреса для клиентов 172.16.0.0/12 остался свободный блок 192.168.0.0/16
соотвественно 192.168.0.1 нигде не используется и можно его использовать.
Так удобней всего.
DNS и WINS сервер по желанию, единственное что не ставьте адрес DNS тем же, что и Local Address,  лудше указать один из адресов биллинговой машины или же другой DNS вашей сети.

Ниже приведен пример настроек профилей, для шифрования и без него.

Ниже приведен пример вкладки Limits, со стандартными настройками.

Базовая настройка завершена.

Материал взят с сайта: http://www.celteh.com/

поддержка

Конфигурация PPPoE Dual Stack (IPv4 + IPv6) в роутерах Mikrotik

Процедура протестирована на RouterOS версии 6.42. Включает поддержку IP-соединений с двойным стеком (IPv4 и IPv6) на маршрутизаторе CPE (клиенте) при условии, что заранее имеется допустимая конфигурация соединения IPv4 PPPoE.

  1. Включите пакет IPv6 (Система/Пакеты, выберите IPv6 и нажмите Включить), а затем перезапустите маршрутизатор.
  2. Если у нас в данный момент нет настроенного роутера (мы его настроили с самого начала), после включения IPv6 хорошо выполнить сброс до заводских настроек и перезагрузку.Затем Mikrotik добавит стандартную конфигурацию брандмауэра IPv6, достаточную для большинства приложений. Это, конечно, можно сделать вручную позже.
  3. Настраиваем стандартное соединение PPPoE IPv4 (если у нас его еще нет)
  4. На этом этапе предположим, что у нас есть правильно настроенное соединение PPPoE IPv4 на интерфейсе с именем pppoe-out1 на основе профиля PPPoE с именем default, а соединения LAN основаны на интерфейсе с именем bridge. Ниже приведены два метода настройки:
  • на основе графического интерфейса Winbox
  • на основе интерфейса командной строки (например,сш)
Конфигурация в Winbox

1. Добавьте конфигурацию клиента DHCPv6 для пула PD (делегирование префиксов). Входим в IPv6/DHCP Client/+. В окне Новый клиент DHCPv6 на вкладке DHCP:

  • выбираем из списка Interface: pppoe-out1
  • выбираем чекбокс Запрос: префикс, снимаем выделение с адреса
  • в Имя пула введите: pool-IP6-PD
  • одобряем ОК
  1. Добавьте адрес IPv6 в интерфейс LAN с именем bridge из пула делегирования префиксов с именем pool-IPv6-PD.Вводим IPv6/Адреса/+. В окне Новый адрес IPv6:
  • в поле Address: введите: / 64
  • в поле From Pool: выберите или введите pool-IP6-PD
  • из списка Interface выберите: bridge
  • одобряем ОК
  1. Настраиваем ND (Neighbor Discovery) на интерфейсе LAN с именем bridge. Заходим в IPv6/ND:
  • отключить ND по умолчанию на всех интерфейсах. Выберите запись из интерфейса все и отключите ее (Отключить) с помощью красного крестика.
  • добавляем (синий знак +) новое правило ND
  • в окне Новый ND:
  • из списка Interface выберите: bridge
  • в поле Reachable Time: введите 300
  • установите флажок: Объявить DNS
  • одобряем ОК
  1. На момент написания инструкции в системе RouterOS Mikrotika возникла ошибка, при которой после перезагрузки роутера DHCPv6-клиент останавливался в состоянии "rebinding...", что не позволяло произвести корректную перепривязку пула PD .Одним из способов решения этой проблемы является вставка сценария для принудительного нового запроса DHCP при поднятии интерфейса PPPoE. Такой скрипт удобнее всего привязать к дефолтному профилю PPPoE (или любому другому используемому нами). Для этого перейдите в PPP/Profiles (вкладка). Выберите профиль по умолчанию и во вкладке Scripts/On Up: введите скрипт: 
 : задержка 5 с / выпуск ipv6 dhcp-клиента [find interface = "pppoe-out1"]

Затем подтвердите OK.

  1. Добавьте конфигурацию брандмауэра IPv6 (если ее еще нет), как описано ниже в разделе брандмауэра IPv6.
Конфигурация через интерфейс командной строки 
  / профиль ppp set *0 on-up=":delay 5s\r\n/ipv6 dhcp-client release [find interface=\"pppoe-out1\"]" /ipv6 адрес add address = :: 1 from-pool = pool-IP6-PD interface = bridge /ipv6 dhcp-клиент добавить add-default-route = yes interface = pppoe-out1 имя_пула = pool-IP6-PD запрос = префикс /ipv6 Н/Д установить [найти по умолчанию = да] отключено = да добавить рекламу-dns = yes hop-limit = 64 interface = bridgereachable-time = 5m
Брандмауэр IPv6

Когда пакет IPv6 включен, сброс настроек по умолчанию дополнительно создает параметры брандмауэра IPv6.Этой конфигурации достаточно для большинства приложений. Если у вас уже есть рабочая конфигурация перед включением IPv6, вы можете настроить брандмауэр IPv6 вручную без необходимости перезагрузки. Ниже приведены два примера таких настроек; первый создается Микротиком по умолчанию после сброса, а второй содержит необходимый минимум.

Правила брандмауэра IPv6, созданные RouterOS после сброса настроек

Внимание! Они создаются с учетом добавления обозначений соответствующих интерфейсов как LAN и WAN.Не копируйте их, не понимая, как они работают. Следующая конфигурация показана в иллюстративных целях для сравнения с вашим собственным набором правил. 

  / список адресов брандмауэра ipv6 add address = :: / 128 comment = "defconf: неуказанный адрес" list = bad_ipv6 add address = :: 1/128 comment = "defconf: lo" list = bad_ipv6 add address = fec0 :: / 10 comment = "defconf: site-local" list = bad_ipv6 add address = :: ffff: 0.0.0.0/96 comment = "defconf: ipv4-mapped" list = bad_ipv6 add address = :: / 96 comment = "defconf: ipv4 compat" list = bad_ipv6 add address = 100 :: / 64 comment = "defconf: только сброс" list = bad_ipv6 добавить адрес = 2001: db8 :: / 32 comment = "defconf: документация" list = bad_ipv6 add address=2001:10::/28 comment="defconf:ORCHID" list=bad_ipv6 add address=3ffe::/16 comment="defconf:6bone" list=bad_ipv6 добавить адрес =:: 224.0.0.0/100 комментарий = "defconf: другое" список = bad_ipv6 добавить адрес = :: 127.0.0.0/104 комментарий = "defconf: другое" список = bad_ipv6 add address = :: / 104 comment = "defconf: другое" list = bad_ipv6 добавить адрес = :: 255.0.0.0/104 комментарий = "defconf: другое" список = bad_ipv6 / фильтр брандмауэра ipv6 добавить действие = принять цепочку = ввести комментарий = \ "defconf: принять установленное, связанное, неотслеживаемое" состояние соединения = \ установленный, связанный, неотслеживаемый add action = drop chain = input comment = «defconf: drop invalid» connection-state = \ неверный добавить действие = принять цепочку = ввод комментарий = "defconf: принять ICMPv6" протокол = icmpv6 add action = accept chain = input comment = "defconf: accept UDP traceroute" port = \ 33434-33534 протокол = UDP добавить действие = принять цепочку = ввести комментарий = \ "defconf: принять делегирование префикса DHCPv6-клиента."dst-порт = 546 протокол = \ udp src-адрес=fe80::/16 add action = accept chain = input comment = "defconf: accept IKE" dst-port = 500,4500 \ протокол = UDP add action = accept chain = input comment = "defconf: accept ipsec AH" protocol = \ ipsec-ах add action = accept chain = input comment = "defconf: accept ipsec ESP" protocol = \ ipsec-esp добавить действие = принять цепочку = ввести комментарий = \ "defconf: принять все, что соответствует политике ipsec" ipsec-policy = in, ipsec добавить действие = отбросить цепочку = ввести комментарий = \ "defconf: отбросить все остальное, не поступающее из локальной сети" in-interface-list =! LAN добавить действие = принять цепочку = переслать комментарий = \ "defconf: принять установленное, связанное, неотслеживаемое" состояние соединения = \ установленный, связанный, неотслеживаемый добавить действие = отбросить цепочку = переслать комментарий = "defconf: отбросить недопустимо" состояние соединения = \ неверный add action = drop chain = forward comment = «defconf: отбрасывать пакеты с неверным src ipv6» \ src-список-адресов = bad_ipv6 add action = drop chain = forward comment = «defconf: отбрасывать пакеты с плохим dst ipv6» \ dst-адрес-список = bad_ipv6 add action = drop chain = forward comment = "defconf: rfc4890 drop hop-limit = 1" \ hop-limit = равно: 1 протокол = icmpv6 добавить действие = принять цепочку = переслать комментарий = "defconf: принять ICMPv6" протокол = \ icmpv6 добавить действие = принять цепочку = переслать комментарий = "defconf: принять HIP" протокол = 139 add action = accept chain = forward comment = "defconf: accept IKE" dst-port = 500,4500 \ протокол = UDP добавить действие = принять цепочку = переслать комментарий = "defconf: принять ipsec AH" протокол = \ ipsec-ах add action = accept chain = forward comment = "defconf: accept ipsec ESP" protocol = \ ipsec-esp добавить действие = принять цепочку = переслать комментарий = \ "defconf: принять все, что соответствует политике ipsec" ipsec-policy = in, ipsec добавить действие = отбросить цепочку = переслать комментарий = \ "defconf: отбросить все остальное, не поступающее из локальной сети" in-interface-list =! LAN
Минимальный набор правил брандмауэра IPv6

Допустимо, если мы общаемся снаружи через PPPoE, используя интерфейс pppoe-out1.

  / фильтр брандмауэра ipv6 добавить действие = принять цепочку = переслать состояние соединения = установлено, связано, не отслеживается add action = accept chain = input comment = "Ответ сервера DHCPv6" dst-port = 546 protocol = udp src-address = fe80 :: / 10 добавить действие = отбросить цепочку = переадресовать состояние соединения = недействительно, новый входящий интерфейс = pppoe-out1 добавить действие = отбросить цепочку = входное состояние соединения = недопустимо, новый интерфейс = pppoe-out1
.

Доступ в Интернет в режиме PPPoE (Fiber Orange)

См. примеры:
Устранение неполадок доступа в Интернет
Как повысить производительность маршрутизатора при доступе в Интернет (аппаратное ускорение) WAN >> Общие настройки .
Нажмите на индекс WAN1.

Убедитесь, что интерфейс WAN включен, а физический тип — автосогласование.
Включить тег VLAN вставка .
Введите значение тега 35 в поле Значение тега и значение приоритета 0 в поле Приоритет .
Перейдите на вкладку WAN >> Доступ в Интернет.
Выберите режим доступа PPPoE
Нажмите кнопку Страница сведений .


Выберите / заполните следующие поля:

  • выберите Включить
  • Имя пользователя - введите имя пользователя сервиса Neostrada
    [email protected] не добавлять суффикс / ipv6
  • Пароль - введите имя пользователя сервиса Neostrada
  • MTU - введите значение 1492

    После установления соединения 10002 Интернет значение MTU .
    См. пример Как определить значение MTU

  • PPP Аутентификация - выбрать аутентификацию PAP или CHAP означает поддержку PAP, CHAP, MS-CHAPv1, MS-CHAPv2
    • 10084

    9000 Не заполнять необязательное поле Имя услуги , т.к. в случае несоблюдения настроек провайдера роутер Vigor может не подключаться к интернету.

    Перейдите на вкладку Онлайн-статус >> Физическое подключение .

    После успешной аутентификации Состояние WAN становится зеленым.
    Ошибка Ошибка [Ошибка имени пользователя или пароля] в состоянии WAN указывает на неверную аутентификацию (например, неверный логин или пароль).
    Сообщение Сообщение [PPPoE: Нет ответа со стороны сервера] в статусе WAN указывает на отсутствие связи с сервером PPP провайдера (например,неверный идентификатор VLAN, слишком много неудачных попыток аутентификации).

    .

    Настройка маршрутизатора MikroTik hAP Lite TC (MikroTik) 9000 1

    Честно говоря, до недавнего времени я вообще не знал роутеров MikroTik. Что-то слышал, что-то читал и все время думал, что это какое-то сетевое устройство для профессионалов. Сложная настройка, много функций и так далее. Но недавно увидел в продаже несколько моделей MikroTik. Решил купить MikroTik hAP Lite TC, чтобы лично убедиться, настроить и рассказать о нем.

    В этом руководстве я покажу вам, как настроить MikroTik hAP Lite TC.С помощью этого руководства вы сможете настроить практически любой MikroTik RouterBOARD. Сама RouterOS, на которой работают устройства этого производителя, на первый взгляд очень сложная. На самом деле он не только сложный на первый взгляд 🙂 Много разных разделов, настроек и т.д. На моем роутере сама RouterOS на английском языке. Насколько я понял, изменить язык настроек на русский не представляется возможным. Но если вы его посмотрите то поймете, что для нормальной настройки MikroTik вообще не надо лазить по определенным разделам, что-то искать и т.д.Там все самые нужные и важные настройки находятся на одной странице. Которая открывается сразу после входа в панель управления. Теперь мы все собираемся рассмотреть поближе.

    Отдельно хотелось бы сказать пару слов о самом роутере MikroTik hAP Lite TC, мне понравилось это устройство. Корпус из качественного пластика, правда немного воняет. Недорогой, крутой, внешне мощный и очень функциональный. Но большинство функций не нужны большинству пользователей.Классное питание от microUSB. Вы даже можете записывать с USB-порта компьютера или банка. Или без проблем найти другой блок питания, если родной выйдет из строя. Не понравилась очень скучная упаковка, совершенно непонятная инструкция по установке (на английском) и самое главное отсутствие шнура питания. Это маршрутизаторы MikroTik RouterBOARD. По крайней мере, модель hAP Lite TC.

    Многие люди найдут это руководство полезным, судя по инструкции, прилагаемой к комплекту. Что касается MikroTik, то тут я полный чайник.Итак, как вы поняли инструкция для чайников типа меня

    Подключение роутера MikroTik и подготовка к настройке

    Чтобы задать все необходимые параметры, нам сначала нужно подключиться к роутеру и подключиться к интернету. Поскольку сетевого кабеля в комплекте нет, скорее всего, вы будете подключаться к нему через Wi-Fi. Настраивать можно не только с ноутбука или компьютера. Вы можете использовать планшет, телефон или другое устройство.

    Сначала подключите адаптер питания и подключите его. Также можно сразу подключиться к интернету MikroTik (сетевой кабель от провайдера или модем). К порту Интернет .

    Если у вас есть сетевой кабель и вы не можете подключиться через Wi-Fi, просто подключите один конец кабеля к порту LAN маршрутизатора, а другой конец — к порту сетевого адаптера вашего компьютера.

    Затем подключитесь к открытой сети Wi-Fi с именем «MikroTik».

    Если в вашем случае сеть становится закрытой паролем, или при входе в настройки роутера у вас будет запрошен пароль, скорее всего его кто-то уже установил.Сбросьте настройки по инструкции: как сбросить пароль и настройки роутера MikroTik RouterBOARD.

    Выглядит так:

    Доступ в интернет может быть не мгновенным. Мы еще не настроили соединение между роутером и провайдером. Это нормально. Перейти к настройкам.

    Настройка MikroTik на примере hAP Lite TC

    Для входа в настройки роутера необходимо зайти в любом браузере по адресу 192.168.88.1 . Подробнее об этом я писал в статье: 192.168.88.1 — вход в роутер MikroTik (RouterOS). Сразу должна открыться панель управления RouterOS (в моем случае версия v6.34.2). Проверьте, не находится ли маршрутизатор в режиме «Домашняя точка доступа».

    Как было сказано выше, все основные настройки можно задать непосредственно на домашней странице «Быстрая установка». Он разделен на блоки. Нам нужно настроить следующее:

    1. Интернет-соединение (Интернет).
    2. Сеть Wi-Fi (беспроводная).
    3. Установить пароль для защиты панели (Система).

    В большинстве случаев этих настроек достаточно.

    Настройка интернета в MikroTik (Динамический IP, PPPoE)

    Важный момент! Если интернет уже работает через роутер, скорее всего, ваш провайдер использует тип соединения с динамическим IP и никаких дополнительных настроек не требуется. Потому что тип подключения по умолчанию "Автоматический". Вы можете сразу настроить сеть Wi-Fi.

    Вы должны знать тип соединения, используемого вашим интернет-провайдером. А также все данные, необходимые для подключения к Интернету (если у вас нет динамического IP-адреса). Также желательно сразу определить, привязывается ли провайдер к MAC-адресу.

    Итак, если у вас тип подключения "Динамический IP" без привязки к MAC-адресу, все должно работать сразу. Если есть привязка по MAC-адресу, нужно либо прописать MAC-адрес роутера у провайдера (он указан в поле MAC-адрес), либо посмотреть MAC-адрес компьютера, к которому подключен интернет и введите его в поле MAC-адрес в настройках роутера.

    Не забудьте сохранить настройки, нажав кнопку «Применить конфигурацию» (в правом нижнем углу).

    Конфигурация PPPoE

    Выберите тип подключения PPPoE, задайте имя пользователя и пароль (их выдает провайдер) и нажмите кнопку «Переподключиться». Маршрутизатор должен подключиться к Интернету. Если все в порядке, переходим к настройке сети Wi-Fi. Подробнее об этом в статье.

    Однако PPTP-подключения по какой-то причине не были добавлены в этот список.Наверное, потому что он не очень популярен. Тем не менее, некоторые провайдеры используют его.

    Настройка L2TP/PPTP

    Сначала в разделе «PPP» необходимо добавить «PPTP-клиент».

    Затем задайте адрес сервера (Connect to), имя пользователя (user) и пароль (password). Эти данные выдает провайдер. Поставьте галочку рядом с «Добавить маршрут по умолчанию». Затем сохраняем профиль, нажав кнопки «Применить» и «Ок».

    Друзья, я не уверен, что инструкции по настройке PPTP верны.К сожалению, нет возможности узнать. Если я что-то не так написала, поправьте меня в комментариях.

    Настраиваем Wi-Fi сеть и пароль в MikroTik hAP Lite TC

    На этой же странице нас интересует раздел «Wireless». Она слева.

    В поле «Имя сети» измените имя сети Wi-Fi. В выпадающем меню «Страна» желательно указать свой регион, а в поле «Пароль WiFi» установить пароль (не менее 8 символов), который будет использоваться при подключении к сети Wi-Fi.

    Ниже вы можете настроить гостевую сеть Wi-Fi и просмотреть список подключенных клиентов Wi-Fi.

    Запомните или запишите пароль Wi-Fi.Вы можете сохранить настройки кнопкой «Применить конфигурацию» или сразу установить пароль для защиты настроек.

    Пароль в веб-интерфейсе RouterOS

    Когда мы зашли на адрес 192.168.88.1 коммутатор сразу открылся. Любой, кто подключен к маршрутизатору через Wi-Fi или кабель, может получить к нему доступ.Чтобы защитить его, вам нужно установить пароль.

    На главной странице в правом нижнем углу в разделе «Система» придумайте и введите пароль в поля «Пароль» и «Подтверждение пароля». Сохраните настройки, нажав «Применить конфигурацию».

    Вы "Убиваете" из системы. Для возврата к настройкам необходимо указать установленный вами пароль. Имя пользователя - админ. Теперь вам придется входить в систему каждый раз, когда вы входите в RouterOS.

    Постарайтесь не забыть пароль, иначе вам придется сбрасывать настройки роутера MikroTik и настраивать все заново.

    Послесловие

    Заранее извиняюсь, если где-то ошибся в инструкции. Нет возможности проверить все самостоятельно. Например, соединение PPPoE или PPTP. Мне нужен поставщик, который использует определенный протокол. Сама настройка мне показалась проще, чем у популярных производителей с более удобным интерфейсом. Согласитесь, что будет сложно настроить, например, фильтрацию по MAC-адресам, блокировку веб-сайтов, ограничение скорости и другие функции.Вы должны понять.

    Я долго не мог понять, как работает система RouterOS. И я понял, работает "четко". Да, настроек много. Но все быстро открывается, остается, удаляется и т.д. Ничего не зависает и не перезапускается по несколько раз.

    Оставляйте комментарии, делитесь полезными советами и задавайте вопросы!

    .

    MikroTik - конфигурация VPN-сервера (L2TP + IPSec) 9000 1

    В статье описана настройка VPN-сервера в системе MikroTik RouterOS. Вот конфигурация роутера:

    Конфигурация сетевых интерфейсов:
    Интерфейс WAN: ether2wan - pppoe-out1
    Интерфейс LAN: ether3lan - 192.168.5.1/24

    Данные доступа для VPN-клиента:

    Секрет IPsec: haslo IPSec
    Пользователь PPP: PPPuser
    Секретный пароль PPP: haslo PPP
    Пул IP-адресов для клиентов L2TP: 192.168.2.10-192.168.2.20 (пул с именем vpn-клиенты)

    Конфигурацию можно выполнить за восемь шагов:

    1. Разблокируйте порты в брандмауэре, чтобы разрешить маршрутизатору входящие клиентские подключения через туннель: 
       / фильтр брандмауэра ip добавить действие = принять цепочку = ввод dst-port = 500 протокол = udp добавить действие = принять цепочку = ввод dst-port = 1701 протокол = udp добавить действие = принять цепочку = ввод dst-port = 4500 протокол = udp добавить действие = принять цепочку = входной протокол = ipsec-esp добавить действие = принять цепочку = входной протокол = ipsec-ah
    2. Конфигурация пула IP-адресов для VPN-клиентов с именем vpn-clients: 
       / IP-пул добавить name=vpn-clients ranges=192.168.2.10-192.168.2.20
    3. Создание профиля клиента PPP с именем L2TPClients: 
      /ppp профиль добавить change-tcp-mss = yes dns-server = 192.168.5.1,194.204.159.1 local-address = 192.168.5.1 name = L2TPClients remote-address = vpn-clients
    4. Включить сервер L2TP 
       / интерфейс l2tp-сервер сервер set authentication = mschap2 default-profile = L2TPClients enabled = yes ipsec-secret = hasloIPSec use-ipsec = yes установить максимальное mtu = 1450 установить max-mtu = 1450
      5. Конфигурация
    5. IPSec: 
       / предложение ip ipsec set [find default = yes] enc-algorithms = aes-256-cbc, 3des pfs-group = none
    6. Конфигурация существующего предопределенного профиля IPSec "по умолчанию" 
       / профиль однорангового узла ip ipsec set name = «по умолчанию» hash-algorithm = sha1 enc-algorithm = aes-128,3des dh-group = modp2048, modp1024 продолжительность жизни = 1d предложение-проверка = подчиняться nat-traversal = yes dpd-interval = 2m dpd-maximum-failures = 5
    7. Создать учетную запись PPP 
      /ppp секрет добавить имя = пароль пользователя PPP = профиль hasloPPP = служба L2TPClients = l2tp
    8. Настройка NAT, чтобы VPN-клиент мог подключаться к Интернету, используя IP-адрес маршрутизатора — VPN-сервера.
       /ip firewall nat 
       add action=masquerade chain=srcnat comment=\
       "masquerade for L2TP IPSec VPN client" out-interface=pppoe-out1\
       src-address=192.168.2.0/24

    Клиентское соединение L2TP + IPSec VPN может быть настроено, среди прочего во встроенном клиенте Windows 7/10 или с помощью бесплатного клиента DrayTek: https://www.draytek.com/products/smart-vpn-client/

    Источник:
    http://mikrotikacademy.pl/mikrotik-vpn-l2tpipsec-ms-windows-step-by-step/
    https: // www.youtube.com/watch?v=j37Tm1wdvzM

    Эта запись была размещена в MikroTik с метками ipsec, l2tp, Mikrotik, vpn пользователем dominik. .

    Сервер Mikrotik OpenVPN — Просто еще один айтишник

    Если вы еще не используете VPN, самое время начать. Есть много вариантов использования VPN, но самое главное — это безопасность. Я бы не рискнул подключиться к открытой точке доступа, например, в кафе или на вокзале, без активного VPN-подключения. Существует множество провайдеров VPN-услуг, но если у вас есть роутер Mikrotika, вы можете настроить такой сервер у себя дома или в офисе. Я постараюсь познакомить вас с преимуществами и недостатками VPN в следующем посте.Теперь сосредоточимся на настройке Mikrotik OpenVPN Server.

    Схема подключения

    конфигурация маршрутизатора

    Поскольку OpenVPN основан на сертификатах, мы начнем с создания 3 сертификатов. Для сервера, клиента и сертификата CA. Перейдите на вкладку Система -> Сертификаты
    Ожидаемый эффект должен выглядеть так:

    Генерация сертификата ЦС
    Мы начнем с создания собственного ЦС, с помощью которого на более позднем этапе мы подпишем сертификат для клиента и сервера.Нажмите на плюс и введите:

    • Имя: введите свободно
    • Общее имя: доменное имя
    • Размер ключа: 4096
    • Срок действия: 3650 или 10 лет

    Вкладка Использование ключа , отмечаем только:

    Создание сертификата для сервера

    • Имя: введите свободно
    • Обычное имя: *.grzegorzkowalik.com, групповой сертификат
    • Размер ключа: 4096
    • Срок действия: 3650 или 10 лет

    Использование ключа вкладка, мы только отмечаем:

    • цифровая подпись
    • ключ шифрования
    • шифрование данных
    • tls-сервер

    Создание сертификата для клиента

    • Имя: введите свободно
    • Обычное имя: пользователь.grzegorzkowalik.com
    • Размер ключа: 4096
    • Срок действия: 3650 или 10 лет

    Использование ключа вкладка, мы только отмечаем:

    Подписание сертификатов

    После создания сертификата для сервера и клиента мы должны подписать их нашим сертификатом ЦС. Время подписания зависит от процессора маршрутизатора и может занимать до нескольких минут. Мы можем подписывать сертификаты двумя способами. С помощью терминала и из винбокса.Если вы используете терминал, вы можете получить тайм-аут , поэтому стоит дополнительно включить предварительный просмотр потребления ЦП и подождать, пока оно не снизится до 100%.

    CA создается с помощью терминала: sign CA-Cert name = CA-Certificate
    Следующие будем подписывать с помощью winbox, щелкнув правой кнопкой мыши на сертификате и подписать .

    при подписании сертификата для клиента даем любой пароль .

    Экспорт сертификатов

    Клиенту OpenVPN требуются сертификаты (CA, клиент и ключ) для правильной работы.Щелкните правой кнопкой мыши ЦС и нажмите Экспорт . Аналогично поступаем с сертификатом для клиента. Если вы все сделали правильно, то после перехода на Files вы должны увидеть три новых файла.

    С помощью drag & drop мы переносим файлы на диск.

    Подготовить адресацию для VPN-клиентов

    Мы создаем отдельный пул адресов, предназначенный для VPN-соединений. Щелкните IP -> pool и добавьте новый пул.

    Конфигурация сервера OpenVPN

    Переходим на вкладку PPP Profiles и добавляем профиль для VPN клиентов.

    Пополнение:

    • Имя: введите свободно
    • Локальный адрес: в той же сети, что и ранее созданный пул. Например, 10.0.0.1
    • Remote Address: выбираем пул vpn
    • DNS Server: введите внутренний адрес роутера

    во вкладке Протоколы выберите Использовать шифрование на требуется

    Перейдите на вкладку Секреты и добавьте новую учетную запись со знаком плюс.Важно, чтобы имя учетной записи было таким же, как и при создании сертификата из поля Common Name , но без домена.
    При создании сертификата я ввел имя user.grzegorzkowalik.com , поэтому я установил секретную учетную запись пользователя с любым паролем.

    • Сервис: выбираем овпн
    • Профиль: ранее созданный профиль, который является openvpn

    Нам еще нужно включить сервер, для этого переходим на вкладку Interface , естественно находясь еще в PPP

    Конфигурация брандмауэра

    Последнее, что нам нужно настроить на Mikrotik, это разблокировать порт 1194 для входящих подключений.Переключаемся на IP -> Firewall , добавляем новое правило:

    • Цепочка: выбираем ввод
    • Протокол: TCP
    • Дст. Порт: 1194
    • Действие: принять

    Конфигурация клиента OpenVPN

    Начинаем со скачивания клиента OpenVPN, желательно с официального сайта. После установки добавляем сертификаты и конфигурационный файл. В зависимости от операционной системы это может быть C:\Users\username\OpenVPN\config или C:\Program Files\OpenVPN\config .
    Файл конфигурации .ovpn должен выглядеть примерно так:

    client
    dev tun
    proto tcp
    remote grzegorzkowalik.com 1194 # введите IP-адрес сервера ca ca.crt
    сертификат user.crt
    ключ user.key
    сервер удаленного сертификата TLS
    шифр AES-256-CBC
    auth SHA1
    auth-user-pass
    redirect-gateway def1
    глагол 3

    По собственному опыту могу порекомендовать следующее оборудование в разбивке по возможному назначению роутера.

    Для дома и малого бизнеса (SOHO): hAP AC Lite, hAP ​​AC, RB4011, RB260GS, RB2011

    LTE: Комплект SXT LTE, Комплект SXT LTE6, LHG 5, Комплект LHG LTE

    Удлинитель/повторитель: mAP lite, mAP

    POE: Шестнадцатеричный PoE

    ЛАБОРАТОРИЯ: HEX lite

    Средняя/крупная компания: CCR1036-12G-4S

    Микротик OpenVPN-сервер

    90 300

    .

    Микротик серьезно. Мужество или глупость? [из архива ИКТ Professional]

    [место издания] ICT Professional, № 13 - Зима 2016/2017, стр. 33.

    [заголовок] Практический пример

    [автор] Лукаш Швайка

    [название] Микротик серьезно. Мужество или глупость?

    ________________________________________________________________________________________________________________________________

    MikrotikRouterOS стала очень популярной системой для сетевых устройств.Он берет свое начало в сетях WLAN, но в текущей версии его использование намного шире. Все больше и больше администраторов решают внедрить Mikrotik в свои сети для многих серьезных задач.

    Я всегда говорил, что самое большое преимущество Mikrotik, то есть простота использования, является одновременно и его недостатком. С одной стороны, у опытного администратора нет проблем с настройкой этой системы, а с другой - для запуска расширенных сервисов, таких какBGP. Благодаря этому очень часто в наших условиях к Микротику прилеплен системный патч для неопытных администраторов, а само использование Микротика даже вызывает стыд. В этой статье я хотел бы немного побороть этот пагубный стереотип.

    Сеть ART-COM в Явожно обслуживает более 6000 абонентов. Мы применяем принцип, согласно которому каждый абонент должен быть виден в Интернете под уникальным IP-адресом. Коммерческим клиентам присваиваются реальные IP-адреса, а индивидуальным клиентам — NAT по принципу SNAT 1:1, а DNAT активируется по запросу клиента.Преимущество этого решения в том, что менее 10% абонентов решают использовать DNAT, что значительно снижает проблемы, связанные с ботнетами, досами и другими проблемами, связанными с выходом клиента в Интернет. До недавнего времени для работы сети мы в основном использовали маршрутизаторы на базе операционной системы Linux. Программное решение было не нашим, мы воспользовались услугами сторонней компании. В то время как мы были удовлетворены с точки зрения производительности, ограничение использования маршрутизаторов нашей проприетарной системой для управления сетью ISAS стало настолько проблематичным.Нам не хватало определенных функций, без которых дальнейшее развитие сети было бы ограничено. Было принято решение изменить решение.

    Помимо маршрутизаторов для NAT и управления полосой пропускания, мы также решили заменить маршрутизаторы, отвечающие за реализацию BGP. Если в случае с BGP выбор достаточно большой и зависит только от предпочтений (или финансов) администратора, то с выбором работоспособного устройства для NAT-сервиса на 6000 клиентов у нас возникла большая проблема. Самой большой проблемой было найти решение, которое обеспечило бы бесшовную интеграцию с нашей системой ISAS.Для роли BGP мы окончательно остановились на Cisco ASR1001-X, который в какой-то момент мы также рассматривали для использования в качестве NAT/BRAS, но, несмотря на несколько попыток, нам не удалось найти эффективное решение для интеграции всех этих функций с КАК ЕСТЬ. Таким образом, Mikrotik пришел к обоям, которые соответствовали нашим основным предположениям, т.е. имели быстрый API, а также хорошую документацию и поддержку. Мы также хотели такое решение, которое каждый из наших администраторов сможет без проблем освоить.Mikrotik идеально соответствовал этим предположениям.

    Мы начали подготовку к первым испытаниям. Для начала наш программист Адам Кубица на основе API Микротика подготовил приложение для интеграции с ISAS. MTIK-CTL, как называется приложение, является контроллером конфигурации маршрутизатора. Отвечает за настройку всех элементов, необходимых для работы интернета у абонента, таких как VLAN, IP-адреса, маршрутизация, SNAT/DNAT, тарифы, DHCP relay. Функционал приложения ограничен только тем, что умеет API, поэтому на практике позволяет настроить любую функцию Mikrotik.

    Имея заявку на нашу систему, мы могли приступить к выбору оборудования. Воодушевленный опытом моих коллег с платформами MikrotikRouterBoard CCR, я решил купить CCR1036-8G-2S+, полагая, что он сможет эффективно обслуживать более 6000 клиентов и с пиковым трафиком, достигающим чуть более 3 Гбит/с. При первом подходе мы решили выполнять функции маршрутизатора с NAT и делать управление полосой пропускания на основе Simple Queues (SQ) на одном устройстве (пока это делали два Linux-маршрутизатора).Мы поменяли движение ночью. Утром мы знали, что у нас закончится производительность процессора. Вечерняя суета оказалась для этого аппарата убийственной, процессор кончился около 18.00.

    Перед тем, как мы решились на второй тест, я решил проконсультироваться о нашей конфигурации со службой поддержки Mikrotik. У меня есть несколько отличных советов по оптимизации вашей таблицы NAT с помощью customchain. Идея заключалась в том, чтобы построить дерево, чтобы минимизировать время, затрачиваемое на поиск в таблице NAT.Зная, однако, что для обработки такого трафика в пике недостаточно, мы решили провести второй тест с использованием двух маршрутизаторов CCR1036, отделив маршрутизатор от NAT от управления полосой пропускания. В этой конфигурации маршрутизатор с NAT даже в часы пик не превышал 20% загрузки ЦП. Конечно, кроме оптимизации NAT, помогло запустить функцию fasttrack, что было возможно из-за отсутствия Simple Queues на этом роутере (как вы знаете, SQ не работает в связке с fasttrack). К сожалению, у маршрутизатора управления полосой пропускания начались проблемы с трафиком выше 1,5 Гбит/с.Это проявлялось скачками загрузки процессора от 10% до 100% на всех ядрах. Мы выяснили, что скачки ЦП возникают, когда мы добавляем/редактируем очереди SQ. При этом не имело значения, делаем ли мы это через API или вручную. Интересен тот факт, что ниже 1.5Gbps такого эффекта не было. К сожалению, консультация со службой поддержки не принесла хороших новостей. Я получил подтверждение, что это известное поведение SQ на платформе CCR и процессорах Tilera и скорее всего эта проблема будет решена только в RouterOS v7.К сожалению, никто не знает, когда выйдет эта версия.

    Мы уже были обескуражены дальнейшим тестированием и в принципе отказались от использования Mikrotik. Однако случайно я попал в дискуссию по вышеуказанной проблеме с CCR на форуме rzepak.pl. Коллега с ником midland1 подал мне идею попробовать ту же конфигурацию с использованием платформы Supermicro с процессором E3-1230v3 и картой 10G SFP+. Наша сеть с линуксовыми роутерами работала на таких устройствах (модель 512L-X10SLL+-F, карта AOC-STGN-i2s).Понимая, что терять нам нечего, мы решили попробовать. Мы решили использовать два компьютера Supermicro вместо двух компьютеров CCR1036, т.е. повторить второй тест. Результат превзошел наши ожидания. Оба роутера вели себя очень стабильно на пике, не было скачков процессора или других уже известных нам по тестам CCR аномалий.

    После доработки конфигурации и приложения MTIK-CTL было принято решение внедрить его в производство. У нас две серверные комнаты, поэтому все роутеры продублированы и обеспечивают нам резервирование с помощью BGP и VRRP.Приложение MTIK-CTL позволило полностью автоматизировать работу маршрутизаторов. Полная синхронизация нашей системной базы данных с роутерами занимает несколько секунд. Текущие платформы Supermicro дают нам некоторый запас ресурсов на будущее. На данный момент пиковый трафик достигает более 3,5 Гбит/с, и как маршрутизатор с NAT, так и маршрутизатор с SQ не превышают 40% загрузки процессора. По нашим оценкам, текущей конфигурации должно хватить примерно до 5-6 Гбит/с с небольшим запасом на случай аномалий в сети. Все это работает в производстве с августа 2016 года.

    Подытожим наш опыт замены роутеров. Я был очень разочарован платформой RouterBoard CCR1036. Я ожидал гораздо большего от этого устройства. Похоже, несмотря на относительно долгое присутствие на рынке, программное обеспечение MikrotikRouterOS до сих пор не разработано для такой аппаратной платформы. А пока у меня была возможность лично проверить, как CCR1036-8G-2S+ работает в качестве BGP-маршрутизатора. Меня это воодушевило, потому что я заметил огромную популярность использования CCR в качестве BGP среди интернет-провайдеров.К сожалению, я тоже был разочарован. Процесс BGP в MT работает на одном ядре, а процесс в CCR имеет очень низкую тактовую частоту по сравнению с платформами x86 (1,2 ГГц в случае CCR1036). В итоге после загрузки полной таблицы BGP одно из ядер все время было загружено на 100%. Операции с таблицей маршрутизации при такой нагрузке были очень трудоемкими, поиск конкретного префикса занимал даже несколько минут. Короче говоря, меня обескуражили устройства из линейки CCR и рекомендовать их пока не буду. Однако, что касается самой системы MikrotikRouterOS, как видно при подборе соответствующего оборудования, подготовке конфигурации в соответствии с документацией и рекомендациями, вы можете наслаждаться стабильным, гибким и эффективным решением.Жду дальнейшего развития этой системы. Особенно для версии v7, которая привнесет много обещанных изменений. Интересным фактом также является версия RouterOS CHR, предназначенная для работы в виртуализации. Я внимательно слежу за этим проектом. Возможно, следующая модернизация устройств в нашей сети пойдет в этом направлении.

    Микротик серьезно. Мужество или глупость? [из архива ИКТ Professional]

    2 90 039 голосов, 90 038 3,00 90 039 сред. рейтинг ( 67 % баллов) 9000 4 .

    Вы ищете новый домашний маршрутизатор? Проверьте модели Tenda AC7 и AC11

    .

    Пользователей роутеров можно разделить на три типа. Те, кто хочет только «подключить и забыть», заботятся о состоянии своих домашних сетей, «специалисты», знающие команды для моделей CISCO и Mikrotik наизусть, и те, кто «между», кто знает термин черный/белый список , DNS или WPS, но не сходят с ума специально. Модели Tenda AC7 и AC11 должны понравиться этим третьим, просто ищущим новый домашний роутер.

    В центре внимания новый домашний маршрутизатор? Узнайте, что могут предложить Tenda AC7 и AC11

    Как Tenda AC7, так и AC11 являются примерами маршрутизаторов, за которыми вы не будете сильно цепляться. Вы можете купить их менее чем за 100 злотых, обеспечив себя оборудованием, которое точно справится с повседневными задачами, с которыми сталкивается небольшая семья, жадно просматривающая социальные сети или смотрящая Netflix. Эти две модели довольно интересны, если сравнивать их друг с другом, потому что AC11 в некотором роде является моделью с развитыми и обогащенными возможностями AC7.В коробках обоих роутеров вы найдете блок питания и традиционный Ethernet-кабель (витая пара), а их базовую настройку можно свести к подключению к электричеству, проводному соединению и переносу учетной записи PPPoE с существующего роутера.

    Читайте также: Рождественский гид 2021 - MSI

    Оба заключены в весьма изысканные современные корпуса, которые хоть и полностью пластиковые, но производят достойное впечатление.Каждый из них предлагает одновременное формирование сетей на частотах 2,4 и 5 ГГц, где достигаются скорости передачи до 300 и 867 Мбит/с и мощность передачи на уровне <20 и 23 дБм. Однако AC11 немного лучше создает сети Wi-Fi, используя пять внешних антенн 6 дБи, в то время как AC7 работает с более традиционными 5 дБи.

    Еще одним отличием этих маршрутизаторов является магистраль подключения, которая сводится к передаче и поддержке протоколов IEEE802.3, IEEE802.3u и IEEE802.3ab (только для AC11) . В то время как оба предлагают доступ к 1 порту WAN и 3 портам LAN, AC7 может работать на проводных скоростях до 100 Мбит/с, а AC11 может работать на гораздо более приличных 1000 Мбит/с. Другими словами, если вы особенно заботитесь о подключении компьютеров или других маршрутизаторов к этим маршрутизаторам и у вас есть доступ к эффективному интернет-соединению, то вам определенно следует использовать AC11 от этих двух.

    Что касается безопасности, они поддерживают WPA-PSK / WPA2-PSK и WPA / WPA2, и, как вы хорошо знаете, ключом к безопасности Wi-Fi является надежная безопасность.Поэтому лучше постарайтесь не только сменить пароль со стандартного 12345678 на что-то отличное от admin123. Причина? Представьте, что кто-то подключится к вашему Wi-Fi, а затем зайдет на страницу настройки роутера, авторизуется (пароль там меняем еще реже), заблокирует порты или перенаправит сетевой трафик, чтобы он проходил через его сервер. Тогда действительно легко разбиться.

    Читайте также: Рождественский гид 2021 — TP-Link

    К счастью, от этого можно защититься, и роутеры Tenda AC7 и AC11 умеют это делать не только через солидный пароль, но и белые списки (разрешающие доступ к Wi-Fi устройствам с определенным MAC).Поначалу их значение может показаться неясным, но они представляют собой вторую преграду на пути к безопасности и… контролю. Представьте, что вы даете своим детям/домочадцам пароль от Wi-Fi, но перед этим устанавливаете его так, чтобы к нему имели доступ только те устройства, которые вы «знаете» (их основные смартфоны, ноутбуки и компьютеры).

    Оба роутера Tenda поддерживают MU-MIMO, благодаря чему они могут общаться со многими устройствами одновременно

    Тогда более умный ребенок, который будет отключать доступ к Wi-Fi в определенные часы, не сможет обойти эту защиту, просто воспользовавшись вторым телефоном .С другой стороны, черный список позволит вам, например, полностью отключить данный смартфон от Wi-Fi, а опция гостевой сети отрезает их от вашего оборудования, облегчив им доступ к нему. .

    Конфигурация этого, а также общая конфигурация этих маршрутизаторов, включая определение пула DNS-адресов и назначение их конкретным устройствам в соответствии, например, с сервером NAS, также тривиальна, поскольку доступна с уровня интуитивно понятное меню Tenda.

    Кроме того, AC11 поддерживает приложение Tenda Wi-Fi для смартфонов, что делает весь процесс управления еще проще.Многие также оценят поддержку SSID Broadcast, WPS, встроенного брандмауэра, переадресации портов, настройки демилитаризованной зоны или UPnP, а также настройку временных рамок Wi-Fi и других энергосберегающих функций.

    Читайте также: Фиксированный интернет в Play, т.е. самое дешевое постоянное подключение без каких-либо обязательств и лимитов

    • AC7
    • AC11

    Роутеры Tenda AC7 и Tenda AC11, по крайней мере на бумаге, производят впечатление достойных устройств, которые идеально подходят для обеспечения вашего дома Wi-Fi в каждом уголке.Как примеры маршрутизаторов с хорошим соотношением цены и качества, они позволят вам управлять своей домашней сетью, заботиться о ее безопасности и контролировать пользователей, и все это за небольшие деньги, потому что вы можете купить обе модели ниже ста злотых. Вы можете найти их в известных магазинах электроники или на Amazon.pl.

    .

    Смотрите также

Только новые статьи

Введите свой e-mail

Видео-курс

Blender для новичков

Ваше имя:Ваш E-Mail:

Содержание, карта.