Настройка Mikrotik PPTP клиента

В сегодняшнем мануале я покажу как настроить Mikrotik PPTP клиент. Пожалуй, самая простая и быстрая настройка из всех существующих VPN протоколов на Mikrotik. Но это не та цель, которую мы преследуем. VPN это дело серьезное. Нужно понимать, что нам не нужны «желтолицые» товарищи в нашей сеточки. Не стоит упускать из внимания, что протокол признан не безопасным, поэтому будем тюнинговать нашу инфраструктуру. После стандартной настройки, я усложню задание.
Схема сети представлена ниже

Мы находимся справа внизу в офисе SPB (Office-SPB).

Вводные данные:

  • Office-SPB сервер;
  • Office-Moscow клиент;
  • NetworkCore выполняет роль провайдера, он будет заниматься обычной маршрутизацией;
  • Office-Moscow ether1 смотрит в интернет 172.16.10.2/24;
  • Office-SPB ether1 смотрит в интернет 172.16.11.2/24;
  • Office-Moscow имеет bridge “General-Bridge” в локальной сети 1 92.168.11.1/24;
  • Office-SPB имеет bridge “General-Bridge” в локальной сети 1 92.168.10.1/24;
  • IP ПК в локальной сети Office-Moscow 192.168.11.2;
  • IP ПК в локальной сети Office-SPB 192.168.10.2;
  • Адресация в VPN сети 172.16.25.0/24.
Наша команда рекомендует изучитьНаша команда рекомендует изучить углубленный курс по администрированию сетевых устройств MikroTik В курсе много лабораторных работ по итогам которых вы получите обратную связь. После обучения вы получите диплом гос. образца РФ. Подробности и доступ к началу курса бесплатно тут.

Цель №1. Подключиться к ранее настроенному роутеру с маршрутизатора Mikrotik в Москве.

Первым делом проверим доступность через интернет. Я отправлю ping запросы с обоих роутеров, дабы убедиться, что они друг друга видят. В реально жизни один из них должен иметь белый (публичный) IP, и именно тот, кто будет выполнять роль сервера.

Далее переходим на московский роутер и открываем PPP.

Создаем PPTP Client интерфейс.

В General вписываем понятное имя интерфейса. Советую называть их в зависимости на того, на кого он смотрит, в нашем случае это направление в Санкт-Петербург. Назовем to-SPB. Больше ничего не меняем и переходим далее.

Открываем вкладку Dial Out.

  • В строке Connect To заполняем IP роутера, на который хотим подключиться. В нашем случае это питерский Mikrotik сервер 172.16.11.1;
  • В поле User — логин;
  • В поле Password – пароль.

Но сначала их нужно создать! Переходим на наш питерский сервер Mikrotik, в PPP открываем Secrets.

Добавляем через + нового пользователя

  • Name – MSC (имя пользователя);
  • Password – 1234 (пароль);
  • Profile — PPTP-General-Profile (ранее созданный профайл).

Применим настройки и убедимся, что пользователь создался корректно.

Теперь тоже самое, но в командной строке:

/interface pptp-client add allow=mschap2 connect-to=172.16.11.2 disabled=no name=to-SPB password=1234 user=MSC

Возвращаемся на московский Mikrotik. Мы остановились на задании параметров PPTP Client.
Пишем IP PPTP сервера 172.16.11.2, логин и пароль, убираем старые протоколы аутентификации, оставляем только mschap2.

Применяем и смотрим что создался интерфейс

Интерфейс создался и его статус Connected. Перейдем во вкладку Status

  • Local Address указывает на адрес роутера в VPN сети;
  • Remote Address указывает на адрес роутера VPN сервера в VPN сети.

Попробуем теперь отправить ping запросы в обе стороны через VPN сеть.

Эхо-ответы есть. На этом стандартная настройка клиента закончена.

Настройка Firewall

Цель №2. Обезопасить клиентское подключение к серверу VPN.

После стандартной настройки клиента, необходимо настроить файрволл сервера который у нас тоже располагается на mikrotik. Перейдем в IP-Firewall

Ранее мы создали правило входящего соединения, теперь нам нужно его модифицировать. В данном примере я знаю с какого IP будет подключаться клиент.
Открываю правило №0 и вношу в него адрес клиента.

Открываю правило №1 и вношу в него тот же самый IP клиента

Тем самым я разрешил gre и tcp на порт 1723 глобально только с 172.16.10.2
Далее переходим PPP – Secrets.

  • На вкладке Service выставляю вместо any значение pptp. Т.е. разрешаю подключаться данной учетной записи только к сервису pptp;
  • В Caller ID задаю белый статический адрес клиента. Т.е. разрешаю подключаться этой учетной записи только с определенного адреса.

В консоли:

/ip firewall filter add action=accept chain=input comment=in_PPTP-Allow connection-state=new   protocol=gre src-address=172.16.10.2;
/ip firewall filter add action=accept chain=input connection-state=new dst-port=1723 protocol=tcp     src-address=172.16.10.2;
/ppp secret add caller-id=172.16.10.2 name=MSC password=1234 profile=PPTP-General-Profile     service=pptp.

Тем самым мы полностью закрылись от внешних атак, подбору паролей и многого другого для данной учетной записи.

Вы хорошо разбираетесь в Микротиках? Или впервые недавно столкнулись с этим оборудованием и не знаете, с какой стороны к нему подступиться? В обоих случаях вы найдете для себя полезную информацию в углубленном курсе «Администрирование сетевых устройств MikroTik». В курсе много практических лабораторных работ по результату выполнения которых вы получите обратную связь. После окончания обучения вы получите диплом гос. образца РФ. Подробности и доступ к началу курса бесплатно тут.

Оцените статью
MikroTikLab
Добавить комментарий

  1. Игорь

    Добрый день. Хочу развернуть pptp сервер для подключения ip softphon-ов а установленных на смартфонах сотрудников. Можно создать такое правило или правильнее маршрут, чтобы они могли после подключения обращаться только к АТС. Я сделал маршрут на смартфоне, но это не удобно, каждый раз прописывать., хотелось бы на стороне pptp сервера. Спасибо.

    Ответить
    1. Артур Гарян автор

      Добрый день.
      Да можно сделать правило dst-nat на IP шлюза в VPN.
      Только PPTP не лучший вариант для телефонии

      Ответить
  2. Илья

    Добрый день. есть проблема с реализацией подключения.
    PPTP все время переподключается с ошибкой MY PPTP: terminating… — keepalives timed out.
    Хотя timeout выставлен 99999

    Ответить
    1. Илья

      А если настраивать подключение с винды, то все работает нормально и стабильно….

      Ответить
    2. Артур Гарян автор

      Добрый день.
      Скорее всего провайдер блочит GRE, который есть часть PPTP.
      Попробуйте L2TP/IPSEC

      Ответить
Adblock
detector