В сегодняшней статье мы рассмотрим настройку PPTP-сервера на Mikrotik (RouterOS) через Winbox. Роутер будет находиться на нашем тестовом стенде EVE-NG, по этому я буду использовать образ Mikrotik CHR 6.45.7 для виртуальных машин.
Пару слов о протоколе PPTP. Протокол является клиент-серверным, работает по TCP и использует в своей работе GRE. Стоит отметить, что ваши данные будут гарантированно доставлены благодаря использованию TCP. Зачастую бывает, что провайдер блокирует GRE, в результате соединение между клиентом и сервером не может установиться.
Имейте ввиду, что если вы собираетесь использовать внутри PPTP телефонию, то качество связи может ухудшиться. Предполагается что на роутере настроен доступ в интернет, и провайдер предоставляет публичный (белый) IP адрес.
Настройка
Для начало нам нужно подключится к роутеру через Winbox.
MikroTik имеет доступ в интернет через интерфейс ether1 с адресом 172.16.11.2/24. Так же на нем настроена локальная сеть на интерфейсе General-Bridge с адресом 192.168.10.1/24. В Bridge находятся интерфейсы ether2-ether4
Открываем вкладку PPP:
Нас интересует PPTP Server, и сразу дам рекомендацию, не нужно заходить в нее и включать сервер PPTP. Большая ошибка многих конфигураций — это использование стандартных профайлов. Прежде чем включать VPN, нужно создать и настроить новый. Он нужен для более тонкой настройки PPTP сервера Mikrotik. В нем мы включаем и отключаем нужные параметры. Предлагаю взглянуть.
Переходим в Profiles
Жмем на плюс, так же стандартные Profile не нужно удалять или выключать.
Перед нами открывается окно нового профайла. В строке «Name» задаем понятное имя. В строке Local Address указываем IP адрес Mikrotik в VPN. Я указываю 172.16.25.1. То есть при подключении клиента к PPTP VPN автоматически назначается именно это адрес для сервера Mikrotik.
В строке Remote Address указываю IP адрес или пул адресов для клиентов внутри VPN. Так как я буду подключать больше одного клиента к VPN, то создам пул из той же подсети.
Переходим в нужный нам раздел IP-Pool.
Создаю пул, нажатием плюс. Задаю имя PPTP-VPN-Clients и задаю IP адреса 172.16.25.10-172.16.25.20 в строке Address.
Нажимаем Apply и Ok. Проверяем, создался ли наш пул. Если все хорошо, то возвращаемся к созданию PPTP профайла.
В строке Remote Address выпадающего списка, стал доступен наш пул. Выбираем его.
Приведем свежующие параметры к такому виду:
- переключаем Change TCP MSS в yes;
- параметр Use UPnP переключаем в no.
Снова рекомендация, никогда не оставляйте default если хотите, чтобы все работало именно так как, вы планируете.
Переходим в Protocols и изменяем:
- Ставим no для Use MPLS;
- Ставим yes для Use Compression;
- Ставим yes для Use Encryption.
Далее в Limits указываем no для Only One. Остальные настройки можно не задавать. К примеру, если бы нужно было ограничить скорость клиента в VPN, то нас интересовала вкладка Queue – но это совсем другая история.
Теперь можно сохранять. Жмем Apply и OK
В списке должен появиться наш созданный профайл.
Нам осталось включить PPTP сервер на Mikrotik и настроить Firewall. Нас интересует PPTP в меню Interface.
Ставим галочку Enabled.
Выбираем в Default Profile наш созданный PPTP-General-Profile.
Authentication — для более безопасной проверки подлинности рекомендую использовать только mschap2. Мы отключаем все другие протоколы проверки подлинности, но будьте осторожны, т.к. некоторые устройства могут не поддерживать протокол MS-CHAPv2.
Жмем Apply и OK.
Настройка Firewall для PPTP Сервера
На этом еще не все, нам осталось настроить Firewall. Если ваш роутер с пустой конфигурацией, то делать ничего не нужно. Если у вас есть запрещающие правила входящего трафика, то нужно внести некоторые изменения.
Внимание, если вы используете default config, то правила вносить необходимо.
Переходим в Firewall. (IP-Firewall), выбираем Filter Rules и жмем плюс.
В окне создания New Firewall Rule выбираем цепочку input, поскольку трафик будет идти именно на роутер (входящий трафик).
Protocol выбираем gre.
Connection State ставим галочку new.
Далее идем во вкладку Action и в параметре Action проверяем чтобы значение было на accept.
Нажимаем Apply и OK.
Создаем еще одно. Нажимаем плюс. Все параметры остаются такие же, за исключением параметров Protocol и Dst.port.
Protocol выбираем tcp
Dst.port 1723.
Сохраняем и проверяем.
Все на месте. Обязательно после сохранения переместите их выше блокирующих, это значит если у вас есть блокирующее правило входящего трафика в цепочке input, то последние два нужно поднять.
Для удобства подпишем их одним комментарием.
Теперь понятно, что это за правила, в какой цепочке и для чего нужны.
Пару слов про блокировку GRE. Некоторые товарищи все же блокируют его, но как понять, доходит ли пакеты до нас?
Расскажу маленькую хитрость. В каждом правиле firewall есть счетчик, они называются Bytes и Packets.
Если в процессе подключения эти счетчики не изменяются, значит пакеты просто не доходят до вашего роутера. В подобных ситуациях нужно пробовать другие протоколы VPN. В следующий статье мы расмотрим настройку и подключение клиента к нашему PPTP серверу на оборудование микротик.
89 вопросов по настройке MikroTik
Вы хорошо разбираетесь в Микротиках? Или впервые недавно столкнулись с этим оборудованием и не знаете, с какой стороны к нему подступиться? В обоих случаях вы найдете для себя полезную информацию в курсе «Настройка оборудования MikroTik». 162 видеоурока, большая лабораторная работа и 89 вопросов, на каждый из которых вы будете знать ответ. Подробности и доступ к началу курса бесплатно тут.
Здравствуйте, для подключения, например, из windows еще нужно задать имя и пароль? И как теперь подключаться к ресурсам внутренней сети? Или нужно было указывать пул и адрес сервера реальные?
Добрый день
Чтобы дальше попасть с Windows машины в сеть за Mikrotik, вам нужно дать знать винде что за микротом есть такая вот сеть, к примеру
route add 192.168.10.0 mask 255.255.255.0 172.16.25.1
172.16.25.1 это адрес микрота в VPN. И если нет запрещающих правил фаервола, то попадете в сеть.
Можете указать существующий пул адресов, но это не рекомендуется, потом не найдете кто откуда.