В сегодняшнем мануале я покажу как настроить Mikrotik PPTP клиент. Пожалуй, самая простая и быстрая настройка из всех существующих VPN протоколов на Mikrotik. Но это не та цель, которую мы преследуем. VPN это дело серьезное. Нужно понимать, что нам не нужны «желтолицые» товарищи в нашей сеточки. Не стоит упускать из внимания, что протокол признан не безопасным, поэтому будем тюнинговать нашу инфраструктуру. После стандартной настройки, я усложню задание.
Схема сети представлена ниже
Мы находимся справа внизу в офисе SPB (Office-SPB).
Вводные данные:
- Office-SPB сервер;
- Office-Moscow клиент;
- NetworkCore выполняет роль провайдера, он будет заниматься обычной маршрутизацией;
- Office-Moscow ether1 смотрит в интернет 172.16.10.2/24;
- Office-SPB ether1 смотрит в интернет 172.16.11.2/24;
- Office-Moscow имеет bridge “General-Bridge” в локальной сети 1 92.168.11.1/24;
- Office-SPB имеет bridge “General-Bridge” в локальной сети 1 92.168.10.1/24;
- IP ПК в локальной сети Office-Moscow 192.168.11.2;
- IP ПК в локальной сети Office-SPB 192.168.10.2;
- Адресация в VPN сети 172.16.25.0/24.
Цель №1. Подключиться к ранее настроенному роутеру с маршрутизатора Mikrotik в Москве.
Первым делом проверим доступность через интернет. Я отправлю ping запросы с обоих роутеров, дабы убедиться, что они друг друга видят. В реально жизни один из них должен иметь белый (публичный) IP, и именно тот, кто будет выполнять роль сервера.
Далее переходим на московский роутер и открываем PPP.
Создаем PPTP Client интерфейс.
В General вписываем понятное имя интерфейса. Советую называть их в зависимости на того, на кого он смотрит, в нашем случае это направление в Санкт-Петербург. Назовем to-SPB. Больше ничего не меняем и переходим далее.
Открываем вкладку Dial Out.
- В строке Connect To заполняем IP роутера, на который хотим подключиться. В нашем случае это питерский Mikrotik сервер 172.16.11.1;
- В поле User — логин;
- В поле Password – пароль.
Но сначала их нужно создать! Переходим на наш питерский сервер Mikrotik, в PPP открываем Secrets.
Добавляем через + нового пользователя
- Name – MSC (имя пользователя);
- Password – 1234 (пароль);
- Profile — PPTP-General-Profile (ранее созданный профайл).
Применим настройки и убедимся, что пользователь создался корректно.
Теперь тоже самое, но в командной строке:
/interface pptp-client add allow=mschap2 connect-to=172.16.11.2 disabled=no name=to-SPB password=1234 user=MSC
Возвращаемся на московский Mikrotik. Мы остановились на задании параметров PPTP Client.
Пишем IP PPTP сервера 172.16.11.2, логин и пароль, убираем старые протоколы аутентификации, оставляем только mschap2.
Применяем и смотрим что создался интерфейс
Интерфейс создался и его статус Connected. Перейдем во вкладку Status
- Local Address указывает на адрес роутера в VPN сети;
- Remote Address указывает на адрес роутера VPN сервера в VPN сети.
Попробуем теперь отправить ping запросы в обе стороны через VPN сеть.
Эхо-ответы есть. На этом стандартная настройка клиента закончена.
Настройка Firewall
Цель №2. Обезопасить клиентское подключение к серверу VPN.
После стандартной настройки клиента, необходимо настроить файрволл сервера который у нас тоже располагается на mikrotik. Перейдем в IP-Firewall
Ранее мы создали правило входящего соединения, теперь нам нужно его модифицировать. В данном примере я знаю с какого IP будет подключаться клиент.
Открываю правило №0 и вношу в него адрес клиента.
Открываю правило №1 и вношу в него тот же самый IP клиента
Тем самым я разрешил gre и tcp на порт 1723 глобально только с 172.16.10.2
Далее переходим PPP – Secrets.
- На вкладке Service выставляю вместо any значение pptp. Т.е. разрешаю подключаться данной учетной записи только к сервису pptp;
- В Caller ID задаю белый статический адрес клиента. Т.е. разрешаю подключаться этой учетной записи только с определенного адреса.
В консоли:
/ip firewall filter add action=accept chain=input comment=in_PPTP-Allow connection-state=new protocol=gre src-address=172.16.10.2;
/ip firewall filter add action=accept chain=input connection-state=new dst-port=1723 protocol=tcp src-address=172.16.10.2;
/ppp secret add caller-id=172.16.10.2 name=MSC password=1234 profile=PPTP-General-Profile service=pptp.
Тем самым мы полностью закрылись от внешних атак, подбору паролей и многого другого для данной учетной записи.
89 вопросов по настройке MikroTik
Вы хорошо разбираетесь в Микротиках? Или впервые недавно столкнулись с этим оборудованием и не знаете, с какой стороны к нему подступиться? В обоих случаях вы найдете для себя полезную информацию в курсе «Настройка оборудования MikroTik». 162 видеоурока, большая лабораторная работа и 89 вопросов, на каждый из которых вы будете знать ответ. Подробности и доступ к началу курса бесплатно тут.
Добрый день. Хочу развернуть pptp сервер для подключения ip softphon-ов а установленных на смартфонах сотрудников. Можно создать такое правило или правильнее маршрут, чтобы они могли после подключения обращаться только к АТС. Я сделал маршрут на смартфоне, но это не удобно, каждый раз прописывать., хотелось бы на стороне pptp сервера. Спасибо.
Добрый день.
Да можно сделать правило dst-nat на IP шлюза в VPN.
Только PPTP не лучший вариант для телефонии
Добрый день. есть проблема с реализацией подключения.
PPTP все время переподключается с ошибкой MY PPTP: terminating… — keepalives timed out.
Хотя timeout выставлен 99999
А если настраивать подключение с винды, то все работает нормально и стабильно….
Добрый день.
Скорее всего провайдер блочит GRE, который есть часть PPTP.
Попробуйте L2TP/IPSEC