Настраиваем VPN на MikroTik — протоколы PPtP и PPPoE

MikroTik производят профессиональное сетевое оборудование с возможностью тонкой настройки. Поэтому для VPN-сервера или клиента маршрутизаторы этой фирмы подходят просто отлично.

Выбор протокола для VPN

В этой статье мы рассмотрим два наиболее популярных протокола: PPPoE и PPtP.

PPtP чаще всего используется для удалённого доступа к корпоративной сети. К его преимуществам относят простоту настройки и стабильность. Среди минусов — сравнительно слабая система защиты, наличие изъянов в безопасности, невозможность использовать динамические IP-адреса. Настройку PPtP можно представить в виде простой последовательности:

  1. Создание сервера на маршрутизаторе.
  2. Создание и подключение профилей пользователей.
  3. Запись исключений для файервола.

PPPoE — протокол, популярный среди провайдеров интернета. Он отличается хорошей масштабируемостью (вы без особого труда сможете расширить сеть), стабильностью, устойчивостью к атакам, использующим уязвимости протокола ARP. При подключении на PPPoE можно использовать динамические адреса и не прописывать IP каждому конечному узлу сети. Минус РРРоЕ — более сложный процесс подключения.

MikroTik также поддерживают протоколы L2TP, OpenVPN, IPSec. Но они встречаются реже и настраиваются сложнее, поэтому их касаться в этой статье, ориентированной на начинающих, не будем.

Настройка VPN на MikroTik

Маршрутизаторы MikroTik настраиваются через утилиту WinBox, которая доступна для скачивания на официальном сайте. Поэтому перед началом работы скачайте и установите её.

Сайт MikroTik

Нажав на кнопку Winbox, вы увидите список версий, доступных для скачивания

Сервер PPtP

Для начала включим сам сервер:

  1. Откройте Winbox и выберите раздел PPP.
  2. Выберите в верху окна вкладку Interface.
  3. Чуть ниже вы найдёте кнопку PPTP Server. Нажмите её.
  4. У вас откроется окно настроек сервера. Поставьте галочку напротив строки Enabled — это включит сервер с протоколом PPtP.
  5. Теперь перейдём к его настройке. Установите максимальные значения MTU и MRU на 1460.
  6. Снимите галочки с рар и chap.
  7. Установите галочки напротив mschap1 и mschap2.
    PPtP сервер

    Так должно выглядеть окошко настроенного сервера PPtP

  8. Нажмите Apply, затем OK.

Теперь добавим пользователей, которые смогут пользоваться нашим зашифрованным туннелем:

  1. Не выходим из PPP.
  2. Переходим на вкладку Secrets.
  3. Слева вверху видим плюсик. Он нам и нужен — нажимаем.
  4. Откроется окно создания пользователей. Первые две строки — логин и ключ для будущего юзера. Именно их нужно будет вводить потом при подключении к маршрутизатору, поэтому лучше сразу запишите их.
  5. В третьей строке (Service) выбираем протокол. В нашем случае — PPtP.
  6. Профиль оставьте default.
  7. Далее нужно вписать два IP-адреса. В строке Local мы указываем адрес нашего MikroTik — то есть сервера. В строке Remote — IP пользовательского компьютера, который планируем подключать.
    Добавление пользователя

    В каждом окошке вы создаёте нового пользователя, поэтому действия придётся повторить, если вы хотите подключить больше одного

  8. Нажимаем Apply, затем OK.

Мы создали нашего первого пользователя! Если вы хотите подключить больше пользователей, то снова повторите шаги с 2 по 7, вводя новые имя, пароль и remote-адрес.

Теперь пришло время добавить исключения в Firewall, чтобы обеспечить подключение. Нам нужно добавить правило, чтобы открыть порт. Для этого:

  1. Выберите раздел IP.
  2. Перейдите на вкладку Firewall.
  3. Найдите кнопку Filter Rules.
  4. Справа вверху вы увидите красный плюсик. Нажмите его — так мы создадим новое правило.
  5. В новом окошке убедитесь, что находитесь на вкладке General.
  6. В первое поле (Chain) введите input.
  7. В поле Protocol выберите 6 (tcp).
  8. В Dst. Port пропишите 1723 — это и есть номер нужного порта.
    Создание правила

    Мы сделали правило, которое откроет 1723 порт

  9. Нажмите Apply. Закрывать окошко пока не надо.
  10. Перейдите на вкладку Action. Выберите в выпадающем списке пункт accept.
  11. Нажмите Apply, затем ОК.

Теперь нужно добавить разрешение на использование протокола GRE:

  1. Ещё раз нажмите на красный плюсик, чтобы создать новое правило.
  2. Заполните первую строку как input
  3. В поле Protocol из выпадающего списка выберите протокол gre (пусть вас не смущает строчное написание).
  4. Поле Dst.Port оставьте пустым. Нажмите Apply.
  5. Перейдите на вкладку Action и выберите accept из выпадающего списка.
  6. Apply — OK.

Создав правила, перетяните их в самый верх списка на вкладке Filter Rules, иначе они будут подавляться другими правилами.

На этом настройка VPN-сервера на протоколе PPtP завершена.

Настройка PPPoE-сервера

Для настройки PPPoE мы также будем использовать Winbox:

  1. Перейдите в раздел PPP, откройте пункт Profiles.
  2. Нажмите красный плюсик в углу окна.
  3. В открывшемся окне на вкладке General введите произвольное название профиля, укажите IP-адрес сервера (то есть маршрутизатора) и поставьте флажок Yes в разделе Change TSP MSS.
    Создать профиль

    Корректировка MSS обеспечивает правильное открытие сайтов

  4. На вкладке Protocols поставьте все флажки, кроме последнего, в позицию no. Это улучшит производительность сервера. Последний флажок (Use Encryption) установите в положение yes.
    Протоколы

    Шифрование (Encryption) лучше оставить включённым, потому что в противном случае VPN-соединение становится не таким защищённым

  5. Перейдём на вкладку Limits. Из выпадающего списка выберите желаемое ограничение скорости. Флажок в разделе Only One указывает, смогут ли два и более пользователей подключиться по одной паре «логин-пароль». Если вы этого хотите, поставьте no.
    Лимиты

    На этой вкладке мы вводим ограничения на использование нашего сервера

  6. Нажмите Apply, затем OK.

Мы создали профиль сервера, теперь пришло время добавить пользователей, которые смогут к нему подключаться:

  1. Как и в прошлый раз, идём в раздел РРР, переходим на вкладку Secrets и нажимаем на красный плюсик.
  2. Заполнять форму теперь нужно чуть по-другому. В первых двух полях укажите имя и пароль для будущего юзера.
  3. В поле Service выберите рррое.
  4. В поле Profile выберите профиль, который мы только что создали.
  5. Адрес маршрутизатора вводить не нужно. В строке Remote введите IP устройства-клиента.
    Пользователи PPPoE

    Как и прежде, для создания нескольких пользователей проделайте этот алгоритм нужное количество раз

  6. Нажмите Apply, OK.

Теперь привяжем интерфейс маршрутизатора к профилю:

  1. В разделе РРР находим кнопку PPPoE Servers.
  2. В поле Default Profile выбираем из выпадающего списка настроенный ранее профиль.
  3. В поле Interface выбираем интерфейс маршрутизатора. Это физический порт, к которому подсоединяют устройства-клиенты. Его номер можно посмотреть на корпусе.
  4. В поле Keepalive Timeout рекомендуется поставить 30 секунд, но при малой пропускной способности туннеля или слабом сервере стоит установить 40–50 секунд.
    Настройка интерфейса

    Последние четыре галочки можно оставить, но продвинутые пользователи для улучшения работоспособности могут снять ненужные им

  5. Apply, OK.

Если вы создавали локальный сервер без доступа в интернет, то на этом настройка закончена. Если же вас интересует доступ к глобальной сети, то нужно также настроить NAT:

  1. Перейдите в раздел IP.
  2. Выберите пункт Firewall.
  3. Нажмите на красный плюсик. Мы создаём новое правило.
  4. В поле Chain пропишите srcnat.
  5. В поле Src.Address мы укажем диапазон адресов. Прописывается он так: 10.1.0.0/16.
  6. В поле Dst.Address вначале вводим восклицательный знак, а затем 10.0.0.0/8. Это тоже диапазон адресов, а не конкретный IP.
    NAT

    NAT обеспечит вам защищённый доступ в интернет

  7. Переходим на вкладку Action и выбираем из выпадающего меню masquerade.
  8. Apply, OK.

Теперь ваш сервер готов к работе в глобальной сети.

Настройка маршрутизатора как клиента сервера

Если же наш маршрутизатор будет использоваться не в качестве сервера, а в качестве его клиента, подключение осуществляем следующим образом:

  1. В Winbox открываем раздел РРР.
  2. В нём выбираем пункт Interface.
  3. Находим строку «PPPoE-клиент» и нажимаем на плюсик.
  4. В открывшемся окне настроек в последней строке выбираем тот интерфейс, через который маршрутизатор подключён к серверу. Больше на вкладке General ничего не меняем.
    Подключение клиента

    Значения MTU и MRU оставляем нетронутыми

  5. Переходим на вторую вкладку — Dial.
  6. Вводим логин в поле User и пароль в поле Password.
  7. Ставим галочку Use Peer DNS.
  8. Снимаем галочку Dial on Demand.
  9. В разделе Allow вы увидите четыре галочки: pap, chap, mschap1 и mschap2. Их нужно выставить так же, как они стоят на сервере.
    Настройка подключения клиента

    Логин и пароль вы можете уточнить у владельца сервера

  10. Как обычно, нажимаем Apply, а затем ОК.

Настройка VPN-сервера не так сложна, как может показаться на первый взгляд. И хотя утилита Winbox может поначалу отпугнуть своей сложностью и огромной функциональностью, благодаря пошаговым инструкциям можно без труда разобраться в настройке MikroTik.



2019-06-10T10:33:13
Роутеры и модемы