Расширенные настройки Mikrotik RouterOS: VPN сервер по протоколу PPTP

27.12.2012
Поделиться в:

Довольно распространенной задачей, является случай, когда нужно предоставить доступ к корпоративной или любой другой локальной сети из вне. Например для удаленного работника, или для того, чтобы получить доступ к рабочим ресурсам из дома, или наоборот - для того, чтобы иметь доступ к своим домашним гаджетам, подключенным к локальной сети, из офиса или другого места вне дома. В таком случае, оптимальным решением, будет создание туннельного соединения VPN, которое и позволит почти в полной мере, решить эту задачу.

В данной статье, мы рассмотрим создание такого соединения на оборудовании, под управлением Mikrotik RouterOS, по протоколу PPTP. Для этого, нам необходимо создать PPTP сервер на нашем маршрутизаторе, задать данные авторизации для пользователя или пользователей (если их несколько) и сделать определенные настройки для Firewall, чтобы этот трафик беспрепятственно проходил через межсетевой экран.

Подключаемся к нашему маршрутизатору при помощи фирменной утилиты Winbox и первое, что нам нужно сделать, это создать нового пользователя с индивидуальным логином и паролем, для авторизации на нашем PPTP сервере. Для этого переходим в раздел PPP и в открывшемся окне, открываем вкладку Secrets, где при помощи кнопки “+”, добавляем нового пользователя. В поле Neme вписываем логин (имя) пользователя, и задаем пароль для него в поле Password. В качестве параметра Service, выбипаем pptp. В поле Local Address указываем IP адрес нашего маршрутизатора, а в поле Remote Address указываем IP адрес, который будет присвоен этому пользователю при его подключении, эта процедура значительно облегчит дальнейший контроль над подключаемыми пользователями.

RouterOS VPN добавление пользователя

Сохраняем нового пользователя кнопкой OK. И если вам необходимо создать больше одного пользователя, то повторяем эту процедуру, необходимое количество раз. Только во избежании конфликтов, Remote Address у каждого из них должен быть индивидуальным.

Далее, нам необходимо активировать PPTP сервер в Mikrotik RouterOS. Для этого, в этом же разделе PPP, переходим на вкладку Interface, где в самом верху вкладки, находим и нажимаем кнопку PPTP Server. В открывшемся окне, ставим галочку Enabled, и все галочки в разделе Authentication.

RouterOS VPN активация PPTP сервера

Сохраняем настройки сервера кнопкой OK. И переходим в раздел IP - Firewall, где необходимо разрешить прохождение трафика по протоколу TCP и порту 1723, это порт туннельного соединения PPTP и разрешить протокол GRE.

На вкладке Filter Rules, кнопкой “+” добавляем новое правило, где на вкладке General, в качестве chain выбираем input, protocol выбираем tcp а в поле Dst.Port вписываем значение 1723.

RouterOS VPN добавление правила Firewall

Переходим на вкладку Action и выбираем acept в качестве параметра для поля action.

RouterOS VPN добавление правила Firewall

И сохраняем это правило кнопкой OK.

И создаем второе правило. На вкладке General, в качестве chain выбираем input, protocol выбираем gre и переходим на вкладку Action.

RouterOS VPN добавление правила Firewall

На вкладке Action и выбираем acept в качестве параметра для поля action.

RouterOS VPN добавление правила Firewall

Как и всегда, сохраняем это правило кнопкой OK.

Теперь, чтобы эти правила работали, их необходимо поднять высше всех запрещающих правил в списке. Это можно сделать простым перетаскиванием этих двух правил в верх.

RouterOS VPN правила Firewall

На этом, настройку можно считать законченной. Все что осталось сделать, это на стороне клиента настроить VPN соединение и указать IP адрес нашего сервера, логин и пароль, конкретного пользователя.

Алексей С., специально для LanMarket

logo
Расширенные настройки Mikrotik RouterOS: VPN сервер по протоколу PPTP
Отзывы покупателей
Рейтинг покупателей
4.7 / 5 4.7 5 80
На основе 80 оценок покупателей
6.3%
0%
1.3%
0%
0%
Отзыв
Отлично
Заголовок*
Достоинства
Недостатки
Комментарий*
Представьтесь
Комментарий
Алексей, еще вопрос, замечено что когда клиент цепляется по впн в лакалку, то у пользователей в локальной сети пропадает инет. Сталкивались ли вы с такой проблемой и как ее можно решить?
Комментарий
Евгений, Для того, чтобы был интернет для пользователей тоннеля, его нужно добавить в NAT. Например: action=masquerade chain=srcnat out-interface=PPtP-VPN(ваш PPTP интерфейс)"
Комментарий
Добавьте туннель в Bridge с локальной сетью, которая за NAT.Можите подсказать как это правильно сделать...у меня конектиться и VPN есть...пингует только модем....а как доступ к сетевым ресурсам получить или по RDP подключаться?Скажите пожалуйста
Комментарий
Виктор, Да, как я и предполагал, нужно правильно настроить Firewall, тем более с учетом двух провайдеров. Потребуется маркировка соединений и маршрутов в разделе Mangle, и последующая маршрутизация по маркерам, в IP - Routes."
Комментарий
Алексей, Методом тыка нашел проблему, на микротик приходит два провайдера. Когда отключаю одного, впн подымается. Как настроить чтобы впн работал с двумя провайдерами?"
Комментарий
Алексей, [viktor@MikroTik] > ip firewall filter printFlags: X - disabled, I - invalid, D - dynamic 0 chain=input action=accept protocol=gre 1 chain=output action=accept protocol=gre 2 chain=input action=accept protocol=tcp dst-port=1723 3 chain=output action=accept protocol=tcp src-port=1723 4 chain=forward action=accept src-address=192.168.1.55 5 chain=forward action=accept src-address=192.168.1.60 6 chain=forward action=accept protocol=tcp dst-address=192.168.1.0/24 src-port=443 7 chain=forward action=accept protocol=tcp src-address=192.168.1.0/24 dst-port=443 8 chain=forward action=accept protocol=tcp dst-address=192.168.1.0/24 src-port=25 9 chain=forward action=accept protocol=tcp src-address=192.168.1.0/24 dst-port=25 10 chain=forward action=accept protocol=tcp dst-address=192.168.1.0/24 src-port=110 11 chain=forward action=accept protocol=tcp src-address=192.168.1.0/24 dst-port=110 12 chain=forward action=accept protocol=tcp dst-address=192.168.1.0/24 src-port=20 13 chain=forward action=accept protocol=tcp src-address=192.168.1.0/24 dst-port=20 14 chain=forward action=accept protocol=tcp dst-address=192.168.1.0/24 src-port=21 15 chain=forward action=accept protocol=tcp src-address=192.168.1.0/24 dst-port=21 16 X chain=forward action=accept protocol=tcp dst-address=192.168.1.0/24 src-port=443 17 I chain=forward action=drop protocol=tcp in-interface=LAN dst-port=6881-688> time=8h-20h,mon,tue,wed,thu,fri 18 I chain=forward action=drop protocol=udp in-interface=LAN dst-port=1025-65535 content=d1:ad2:id20: time=8h-20h,mon,tue,wed,thu,fri packet-size=95-190 19 chain=forward action=accept connection-state=established 20 X chain=forward action=accept connection-state=related 21 chain=forward action=drop connection-state=invalid 22 chain=input action=drop connection-state=invalid "
Комментарий
Виктор, Похоже, что что-то не так с фаерволом"
Комментарий
Все сделал как написано выше, но не подымается vpn. На микротике в логе:TCP connection established from 212.19.x.x:waiting for call..:terminating... - call cleared:disconnectedПодскажите, что не правильно делаю?
Комментарий
Михаил, Добавьте туннель в Bridge с локальной сетью, которая за NAT."
Комментарий
Сделал, как написано - не видит сетевые ресурсы, к удалённому рабочему столу - коннектится и пинг есть

Возврат к списку


Популярное оборудование

Авторизуйтесь, чтобы добавить отзыв

x