Настройка Mikrotik PPTP клиента

В сегодняшнем мануале я покажу как настроить Mikrotik PPTP клиент. Пожалуй, самая простая и быстрая настройка из всех существующих VPN протоколов на Mikrotik. Но это не та цель, которую мы преследуем. VPN это дело серьезное. Нужно понимать, что нам не нужны «желтолицые» товарищи в нашей сеточки. Не стоит упускать из внимания, что протокол признан не безопасным, поэтому будем тюнинговать нашу инфраструктуру. После стандартной настройки, я усложню задание.
Схема сети представлена ниже
топология сети
Мы находимся справа внизу в офисе SPB (Office-SPB).
Вводные данные:
  • Office-SPB сервер;
  • Office-Moscow клиент;
  • NetworkCore выполняет роль провайдера, он будет заниматься обычной маршрутизацией;
  • Office-Moscow ether1 смотрит в интернет 172.16.10.2/24;
  • Office-SPB ether1 смотрит в интернет 172.16.11.2/24;
  • Office-Moscow имеет bridge “General-Bridge” в локальной сети 1 92.168.11.1/24;
  • Office-SPB имеет bridge “General-Bridge” в локальной сети 1 92.168.10.1/24;
  • IP ПК в локальной сети Office-Moscow 192.168.11.2;
  • IP ПК в локальной сети Office-SPB 192.168.10.2;
  • Адресация в VPN сети 172.16.25.0/24.
РЕКОМЕНДАЦИЯ
Наша команда советует изучить углубленный курс по администрированию сетевых устройств MikroTik.
В курсе много лабораторных работ по итогам которых вы получите обратную связь.
После обучения вы получите диплом гос. образца РФ. Подробности и доступ к началу курса бесплатно тут.
Цель №1. Подключиться к ранее настроенному роутеру с маршрутизатора Mikrotik в Москве.
Первым делом проверим доступность через интернет. Я отправлю ping запросы с обоих роутеров, дабы убедиться, что они друг друга видят. В реально жизни один из них должен иметь белый (публичный) IP, и именно тот, кто будет выполнять роль сервера.
тестирование связи
Далее переходим на московский роутер и открываем PPP.
добавление сетевого интерфейса
Создаем PPTP Client интерфейс.
создание PPTP Client интерфейса
В General вписываем понятное имя интерфейса. Советую называть их в зависимости на того, на кого он смотрит, в нашем случае это направление в Санкт-Петербург. Назовем to-SPB. Больше ничего не меняем и переходим далее.
указание имени интерфейса
Открываем вкладку Dial Out.
  • В строке Connect To заполняем IP роутера, на который хотим подключиться. В нашем случае это питерский Mikrotik сервер 172.16.11.1;
  • В поле User — логин;
  • В поле Password – пароль.
Но сначала их нужно создать! Переходим на наш питерский сервер Mikrotik, в PPP открываем Secrets.
управление пользователями
Добавляем через + нового пользователя
  • Name – MSC (имя пользователя);
  • Password – 1234 (пароль);
  • Profile — PPTP-General-Profile (ранее созданный профайл).
настройка безопасности PPTP клиента
курс по микротик
Применим настройки и убедимся, что пользователь создался корректно.
проверка создания пользователя PPTP
Теперь тоже самое, но в командной строке:
обучение по микротик 
/interface pptp-client add allow=mschap2 connect-to=172.16.11.2 disabled=no name=to-SPB password=1234 user=MSC
Возвращаемся на московский Mikrotik. Мы остановились на задании параметров PPTP Client.
Пишем IP PPTP сервера 172.16.11.2, логин и пароль, убираем старые протоколы аутентификации, оставляем только mschap2.
задание параметров для подключения
Применяем и смотрим что создался интерфейс
статус подключения к PPTP серверу
Интерфейс создался и его статус Connected. Перейдем во вкладку Status
статус PPTP интерфейса
  • Local Address указывает на адрес роутера в VPN сети;
  • Remote Address указывает на адрес роутера VPN сервера в VPN сети.
Попробуем теперь отправить ping запросы в обе стороны через VPN сеть.
проверка VPN соединения
Эхо-ответы есть. На этом стандартная настройка клиента закончена.

Настройка Firewall

Цель №2. Обезопасить клиентское подключение к серверу VPN.
После стандартной настройки клиента, необходимо настроить файрволл сервера который у нас тоже располагается на mikrotik. Перейдем в IP-Firewall
настройка Firewall
Ранее мы создали правило входящего соединения, теперь нам нужно его модифицировать. В данном примере я знаю с какого IP будет подключаться клиент.
Открываю правило №0 и вношу в него адрес клиента.
создание правила Firewall GRE
Открываю правило №1 и вношу в него тот же самый IP клиента
создание правила Firewall PPTP
Тем самым я разрешил gre и tcp на порт 1723 глобально только с 172.16.10.2
Далее переходим PPP – Secrets.
  • На вкладке Service выставляю вместо any значение pptp. Т.е. разрешаю подключаться данной учетной записи только к сервису pptp;
  • В Caller ID задаю белый статический адрес клиента. Т.е. разрешаю подключаться этой учетной записи только с определенного адреса.
задание параметров для подключения к серверу PPTP
В консоли:
/ip firewall filter add action=accept chain=input comment=in_PPTP-Allow connection-state=new   protocol=gre src-address=172.16.10.2;
/ip firewall filter add action=accept chain=input connection-state=new dst-port=1723 protocol=tcp     src-address=172.16.10.2;
/ppp secret add caller-id=172.16.10.2 name=MSC password=1234 profile=PPTP-General-Profile     service=pptp.
Тем самым мы полностью закрылись от внешних атак, подбору паролей и многого другого для данной учетной записи.
РЕКОМЕНДАЦИЯ
Вы хорошо разбираетесь в Микротиках? Или впервые недавно столкнулись с этим оборудованием и не знаете, с какой стороны к нему подступиться? В обоих случаях вы найдете для себя полезную информацию в углубленном курсе «Администрирование сетевых устройств MikroTik». В курсе много практических лабораторных работ по результату выполнения которых вы получите обратную связь. После окончания обучения вы получите диплом гос. образца РФ. Подробности и доступ к началу курса бесплатно тут.