Архив метки: Настройка ПО

MikroTik – статические маршруты.

В нашей организации есть две не связанные локальные сети каждая со своим шлюзом. Была поставлена задача их объединить. О том как это происходило написано далее.

Освоить MikroTik Вы можете с помощью онлайн-куса
«Настройка оборудования MikroTik». Курс содержит все темы, которые изучаются на официальном курсе MTCNA. Автор курса – официальный тренер MikroTik. Подходит и тем, кто уже давно работает с микротиками, и тем, кто еще их не держал в руках. В курс входит 162 видеоурока, 45 лабораторных работ, вопросы для самопроверки и конспект.

Схема сетей.

В обоих сетях работают роутеры MikroTik RB750Gr3 с прошивкой 6.48.

В первые порты подключены патч-корды внешних сетей.

Во вторые порты подключен патч-корд между двумя роутерами (красный).

В пятые порты подключены патч-корды до коммутаторов ЛВС (синие).

Для понятности описаны подробные настройки для обоих роутеров.

Обозначим роутеры №1 и №2.

Базовые настройки помещены под спойлер.


СПОЙЛЕР Настройки роутера №1.

Подключаемся к роутеру через WinBox из локальной сети. (как это сделать)

Reset Configuration.

Сбрасываем конфигурацию без сохранения настроек по умолчанию.

Через командную строку терминала:



Подключаемся к роутеру по MAC-адресу.

 

Ports.

Переименуем порты, чтоб не путаться в процессе настройки.

ether1-WAN (внешняя сеть – Интернет)

ether2-ROUTE (роутер №2)

ether3-ether5 – LAN (локальная сеть)

Через командную строку терминала:



 

Bridge.

Создаем мост для внутренней локальной сети.

Через командную строку терминала:



 

Bridge ports.

Добавляем в мост порты ether3-ether5

Через командную строку терминала:



 

Bridge address.

Назначим мосту статический IP-адрес.

Через командную строку терминала:



 

Ether2-ROUTE address.

Назначим статический адрес порту в направлении второго роутера.

Через командную строку терминала:



 

DHCPclient.

Создадим получение IP-адреса от вышестоящего роутера (провайдера) в автоматическом режиме.

Создаем DHCP Client соединение.

Через командную строку терминала:



 

DHCPserver для локальной сети.

Создаем пул IP-адресов, которые будут раздаваться автоматически.

Через командную строку терминала:



 

Укажем сеть для DHCP-сервера.

Через командную строку терминала:



 

Создадим DHCP Server.

Через командную строку терминала:



 

Привяжем полученный IP-адрес к MAC-адресу ПК пользователя.

Через командную строку терминала:



 

DNS.

Динамический DNS будет присвоен автоматически, или его можно указать вручную.

Allow Remote Requests – отмечаем галочкой.

Через командную строку терминала:



 

NAT.

NAT masquerade подменяет IP-адреса локальной сети на внешний IP при отправке запросов и обратная ситуация при возвращении ответов.

Через командную строку терминала:



После этих действий Интернет заработает в локальной сети.

Для полноценной работы необходимо выполнить настройки по безопасности, и некоторые другие настройки (см.базовая настройка роутера MikroTik).


Routes.

Создадим маршрут от первого до второго роутера. Это можно сделать в меню  IP >> Routes.

Через командную строку терминала:



Этот маршрут означает что при необходимости попасть в сеть 192.168.20.0/24 будет использован шлюз 172.16.0.20.

 


СПОЙЛЕР Настройки роутера №2.

Подключаемся к роутеру через WinBox из локальной сети. (как это сделать)

Reset Configuration.

Сбрасываем конфигурацию без сохранения настроек по умолчанию.

Через командную строку терминала:



Подключаемся к роутеру по MAC-адресу.

 

Ports.

Переименуем порты, чтоб не путаться в процессе настройки.

ether1-WAN (внешняя сеть – Интернет)

ether2-ROUTE (роутер №1)

ether3-ether5 – LAN (локальная сеть)

Через командную строку терминала:



 

Bridge.

Создаем мост для внутренней локальной сети.

Через командную строку терминала:



 

Bridge ports.

Добавляем в мост порты ether3-ether5

Через командную строку терминала:



 

Bridge address.

Назначим мосту статический IP-адрес.

Через командную строку терминала:



 

Ether2-ROUTE address.

Назначим статический адрес порту в направлении первого роутера.

Через командную строку терминала:



 

DHCPclient.

Создадим получение IP-адреса от вышестоящего роутера (провайдера) в автоматическом режиме.

Создаем DHCP Client соединение.

Через командную строку терминала:



 

DHCPserver для локальной сети.

Создаем пул IP-адресов, которые будут раздаваться автоматически.

Через командную строку терминала:



 

Укажем сеть для DHCP-сервера.

Через командную строку терминала:



 

Создадим DHCP Server.

Через командную строку терминала:



 

Привяжем полученный IP-адрес к MAC-адресу ПК пользователя.

Через командную строку терминала:



 

DNS.

Динамический DNS будет присвоен автоматически, или его можно указать вручную.

Allow Remote Requests – отмечаем галочкой.

Через командную строку терминала:



 

NAT masquerade.

Через командную строку терминала:



После этих действий Интернет заработает в локальной сети.

Не забываем выполнять базовые настройки по безопасности.


Routes.

Создадим маршрут от второго роутера к первому роутера. Переходим в боковом меню в  IP >> Routes.

Через командную строку терминала:



Этот маршрут означает что при необходимости попасть в сеть 192.168.10.0/24 будет использован шлюз 172.16.0.10.

Настроенная система прошла успешное тестирование. Доступ между сетями может ограничивать антивирус или правила Firewall в роутерах.

Освоить MikroTik Вы можете с помощью онлайн-куса
«Настройка оборудования MikroTik». Курс содержит все темы, которые изучаются на официальном курсе MTCNA. Автор курса – официальный тренер MikroTik. Подходит и тем, кто уже давно работает с микротиками, и тем, кто еще их не держал в руках. В курс входит 162 видеоурока, 45 лабораторных работ, вопросы для самопроверки и конспект.



2021-04-02T16:37:28
Настройка ПО

MikroTik – настройка двух каналов доступа в Интернет.

В описании представлена настройка двух Интернет-каналов в режиме резервирования. При пропадании связи с одним из каналов, трафик автоматически переходит на второй канал. Работа основана на мониторинге основного канала через пинг и разной метрике шлюзов.

Недостаток метода в том, что мониторинг выполняется от роутера MikroTik до следующего роутера (провайдера).  Если Интернет пропадет на участке ВОЛС (см. схему ниже), то наш MikroTik не обнаружит этого и не переключится на резервный канал.

Освоить MikroTik Вы можете с помощью онлайн-куса
«Настройка оборудования MikroTik». Курс содержит все темы, которые изучаются на официальном курсе MTCNA. Автор курса – официальный тренер MikroTik. Подходит и тем, кто уже давно работает с микротиками, и тем, кто еще их не держал в руках. В курс входит 162 видеоурока, 45 лабораторных работ, вопросы для самопроверки и конспект.

Схема подключения.

В схеме участвует роутер MikroTik RB750Gr3 с прошивкой 6.47.4.

В первый и второй порты подключены патч-корды внешних сетей. В пятый порт патч-корд от коммутатора локальной сети.

Подключаемся к MikroTik через WinBox из локальной сети. (как это сделать)

 

Reset Configuration.

Сбрасываем конфигурацию без сохранения настроек по умолчанию.

Через командную строку терминала:



Подключаемся к роутеру по MAC-адресу.

 

Ports.

Назначим следующие подключения на порты:

ether1 – подключение канала доступа в Интернет №1

ether2 – подключение канала доступа в Интернет №2

Переименуем порты внешней сети, чтоб не путаться в процессе настройки.

ether1-WAN1

ether2-WAN2

Через командную строку терминала:



 

Bridge.

Создаем мост. Он предназначается для внутренней локальной сети.

Через командную строку терминала:



 

Bridge ports.

Добавляем в мост порты ether3-ether5

Через командную строку терминала:



 

Bridge address.

Назначим мосту статический IP-адрес.

Через командную строку терминала:



 

DHCPclient.

Создадим получение IP-адресов от вышестоящих роутеров (провайдера) в автоматическом режиме.

Создаем аналогичными действиями два DHCP Client соединения с разницей в интерфейсе:

-для первого ether1-WAN1;

-для второго ether2-WAN2.

Add Default Route: no (отключаем создание дефолтного маршрута)

Через командную строку терминала:



Через некоторое время DHCP Clients получат IP-адреса. Это можно проверить в IP >> Addresses

D-dynamic (динамический адрес)

 

Routes.

Создадим два статических маршрута для каждого шлюза.

Для первого:

Dst.Address:0.0.0.0/0

Gateway: 192.168.1.1

Distance:1

AS – active, static (активный статический маршрут).

В маршрутах разные внешние шлюзы и метрика.

Для второго:

Dst.Address:0.0.0.0/0

Gateway: 192.168.0.1

Distance:2

Через командную строку терминала:



Маршрут с наименьшей метрикой будет использоваться в приоритете. Как только пропадает связь с основным шлюзом (с роутером провайдера), роутер переключается на следующий по величине метрики маршрут.

Для корректной работы нужно указывать дополнительную настройку для основного канала — check-gateway=ping.

Периодически (каждые 10 секунд) шлюз проверяется с помощью отправки ICMP запросов (ping) или запросов ARP. Если ответ от шлюза не получен в течение 10 секунд, время ожидания запроса истекает. По истечении двух таймаутов шлюз считается недоступным. В нашем случае произойдет переключение на второй шлюз.

После получения ответа от шлюза он считается достижимым, и счетчик тайм-аута сбрасывается.  wiki.mikrotik.com

DHCP-server.

Для удобства управления создадим DHCP-сервер на внутренней сети.

Создаем пул IP-адресов, которые будут раздаваться автоматически.

Через командную строку терминала:



Укажем сеть для DHCP-сервера.

Через командную строку терминала:



Создадим DHCP Server.

Через командную строку терминала:



Привяжем полученный IP-адрес к MAC-адресу ПК пользователя.

Через командную строку терминала:



 

Интернет не заработает без DNS и NAT. Настроим их.

DNS.

Динамические DNS прилетят автоматически, либо их можно прописать вручную.

Allow Remote Requests – отмечаем галочкой.

Через командную строку терминала:



 

NAT.

Создаем два правила NAT masquerade, подменяющие IP-адреса локальной сети на внешний IP, для двух внешних интерфейсов.

В первом правиле указываем Out.Interface: ether1-WAN1

При создании второго правила действия аналогичные, только указываем Out.Interface: ether2-WAN2

Через командную строку терминала:



Для полноценной работы необходимо выполнить настройки по безопасности, указать NTP сервер и некоторые другие настройки. см. базовая настройка роутера MikroTik.

 

Проверка.

Выполним проверку переключения каналов.

Отключим патч-корд канала №1 и убедимся, что трафик пойдет через канал №2.

Наблюдаем ситуацию в IP >> Routes

При штатной работе оба шлюза достижимы (reachable), активным (AS) является ether-WAN1 Интернет трафик идет через него. Можно запустить пинг на какой-нибудь внешний ресурс в командной строке ПК и смотреть как он будет выполнятся.

Отключаем патч-корд первого канала от роутера. Первый канал недостижим (unreachable) и трафик начинает идти через канал №2.

Возвращаем первый патч-корд на место и видим, что активным (AS) становится первый канал, трафик идет через него.

Для мониторинга резервирования каналов до какого-нибудь сервера в Интернете используется приложение Netwatch или рекурсивные маршруты. Об этом будет написано в другой раз.

Освоить MikroTik Вы можете с помощью онлайн-куса
«Настройка оборудования MikroTik». Курс содержит все темы, которые изучаются на официальном курсе MTCNA. Автор курса – официальный тренер MikroTik. Подходит и тем, кто уже давно работает с микротиками, и тем, кто еще их не держал в руках. В курс входит 162 видеоурока, 45 лабораторных работ, вопросы для самопроверки и конспект.



2021-03-26T15:43:34
Настройка ПО

MikroTik – подключение флэшки.

Рассмотрим способ организации общей сетевой папки небольшого размера, расположенной на флэшке. Для этих целей используется роутер MikroTik Rb750Gr3 с прошивкой 6.47.7 и самая обычная флэшка на 8Gb.

Освоить MikroTik Вы можете с помощью онлайн-куса
«Настройка оборудования MikroTik». Курс содержит все темы, которые изучаются на официальном курсе MTCNA. Автор курса – официальный тренер MikroTik. Подходит и тем, кто уже давно работает с микротиками, и тем, кто еще их не держал в руках. В курс входит 162 видеоурока, 45 лабораторных работ, вопросы для самопроверки и конспект.

Базовая настройка роутера выполнена по этой инструкции.

Вставляем флэшку в USB разъем на корпусе роутера.

 

Входим в меню MikroTik через WinBox и переходим на вкладку Files.

В списке файлов видим все содержимое флэшки. Кирилический алфавит не воспроизводится.

Переходим в раздел меню System >> Disks

Видим отсутствие дисков.

 

Вводим команду в терминале.



Видим, что диск все таки есть, но не отображается.

Можно вывести список файлов на диске



 

Отформатируем флэшку в Fat32. Для этого сперва нужно отсоединить ее, указав номер диска, в данном случае 0.



Далее вводим команду.



Начнется форматирование флэшки.

Когда мы увидим надпись formatted: 100% можно еще раз вывести список дисков командой



После этих действий флэшка начала корректно отображаться в графическом интерфейсе.

Для форматирования в графическом интерфейсе последовательность такая же, как и в командном терминале: сперва нажимаем Eject Drive, затем Format Drive. Далее выбираем диск, файловую систему, метку и нажимаем старт.

*форматирование не является обязательным действием если файловая система fat32 или ext3

 

Общий доступ через SMB.

 Активация SMB.

Переходим в 1 IP >> 2 SMB

Выполняем следующие настройки:

3.Enable – отмечаем галочкой (активация SMB).

4.Domain: WORKGROUP имя локальной сети или домена.

5.Comment: комментарий.

6.Allow Guests: разрешение для доступа гостей (в нашем случае отключено, т.к. папка нужна для админов).

7.Interfaces: bridge1 (мост в котором 4 порта локальной сети).

8.Нажимаем кнопку Apply для сохранения настроек.

Через командную строку терминала:



 

Настройка общей папки.

В окне SMB Settings нажимаем кнопку Shares и на + создаем новую общую папку.

1.Name: share1 – имя латинскими буквами, можно оставить по умолчанию.

2.Directory: disk1/PC360 путь к будущей общей папке и ее название.

(Max Sessions – максимальное количество подключений.)

3.Нажимаем кнопку ОК.

Через командную строку терминала:



В списке файлов появится созданная папка.

 

Настройка пользователей.

В окне SMB Settings нажимаем кнопку Users и выполняем настройки.

1.Нажимаем +

2.Name: admin111 (имя пользователя латинскими буквами)

3.Password: 12345Password (пароль доступа)

4.Read Only – убираем галочку (будет разрешено чтение и запись).

5.Нажимаем ОК.

Через командную строку терминала:



 

Проверим наличие общей папки в сети.  В адресной строке ПК вводим IP-адрес роутера в локальной сети. Папка видна в общем доступе.

К общей папке имеют доступ только те пользователи, которые правильно введут учетные данные.

Так же к папке можно подключиться по ftp. Вводим в адресной строке IP-адрес роутера с ftp префиксом ftp://192.168.111.1  затем вводим логин и пароль администратора роутера (НЕ от созданного пользователя SMB). Видим общую папку. Для доступа можно использовать сторонние программы, например Total Commander.

*в меню роутера должен быть активирован доступ по ftp (IP >> Services >> ftp), обычно он активирован по умолчанию

Освоить MikroTik Вы можете с помощью онлайн-куса
«Настройка оборудования MikroTik». Курс содержит все темы, которые изучаются на официальном курсе MTCNA. Автор курса – официальный тренер MikroTik. Подходит и тем, кто уже давно работает с микротиками, и тем, кто еще их не держал в руках. В курс входит 162 видеоурока, 45 лабораторных работ, вопросы для самопроверки и конспект.



2021-02-21T13:20:44
Настройка ПО

Аудит удаления сетевых папок Windows.

В локальной сети организации, в общей сетевой папке для обмена документами кто-то периодически удалял папки. Пользователей более 200. Чтоб отследить источник проблемы был применен аудит сетевой папки. Как это сделать написано далее.

Все действия выполняются на файловом сервере с Windows Server 2012 в доменной сети.  Файловый сервер не является контроллером домена.

Аудит настроен через графический интерфейс. Альтернативный вариант аудита – через скрипт.

 

Порядок действий:

Активация политики аудита.

Настройка аудита в нужной сетевой папке.

Просмотр журнала событий аудита.

  

Активация политики аудита.

Для активации аудита воспользуемся локальной групповой политикой на сервере.

Нажимаем сочетание клавиш Win+R

В открывшейся строке «Выполнить» вводим команду:



В открывшемся редакторе локальной групповой политики переходим в свойства «Аудит файловой системы» по пути:

Конфигурация компьютера >> Конфигурация Windows >> Параметры безопасности >> Конфигурация расширенной политики аудита >> Политика аудита системы – Объект локальной групповой политики >> Доступ к объектам >> Аудит файловой системы (свойства).

Активируем галочкой «Настроить следующие события аудита:»

Отмечаем «Успех».

Нажимаем кнопку «ОК» для сохранения изменений.

Обновляем настройки локальной групповой политики для этого в строке «Выполнить» или в CMD вводим команду:



 

Настройка аудита сетевой папки.

Выбираем нужную папку.

У папки открыт общий доступ для всех на чтение/запись.

 

Переходим в свойствах папки на вкладку «Безопасность». Нажимаем кнопку «Дополнительно».

 

В открывшихся доп. параметрах переходим на вкладку «Аудит». Нажимаем кнопку «Продолжить».

 

Добавляем новый элемент для аудита.

 

Нажимаем на строчку «Выберите субъект».

 

Можно указать каких-то конкретных пользователей или всех сразу, написав Все.

 

В доменной сети можно создать группы в AD и назначать аудит по группам.

 

Далее выбираем:

Тип: Успех.

Применяется к: Для этой папки, её подпапок и файлов.

Нажимаем строчку «Отображение дополнительных разрешений».

Отмечаем галочкой:

Удаление подпапок и файлов.

Удаление.

Нажимаем ОК для сохранения настроек.

Аудит можно настроить не только на удаление, но на любые действия, список которых предоставляет система.

Закрываем свойства папки и переходим в журнал событий.

 

Просмотр журнала событий аудита.

Нажимаем сочетание клавиш Win+R.

Вводим команду



 

В журнал можно так же попасть через Панель управления >> Система и безопасность >> Просмотр журнала событий.

Открываем Журналы Windows и нажимаем правой кнопкой мыши на вкладке «Безопасность».

Выбираем из раскрывшегося меню «Создать настраиваемое представление…».

 

В строке код события указываем 4663.

 

Для удобства использования пишем понятное название при сохранении фильтра.

 

На этом настройки завершены. Теперь любое удаление файла или папки отображается в отдельном списке. Внизу в подробностях можно посмотреть кто и что удалил.

Аудит не поможет вернуть удаленные файлы, для этого должно выполнятся создание резервных копий. Но знание участников действий поможет выполнять контроль и поддерживать порядок в сети.



2021-02-10T15:49:41

Kerio Control IPsec VPN.

Назначением описываемого далее VPN является подключение через Kerio Control пользователей, расположенных за пределами локальной сети организации к серверу в локальной сети для работы со спец. ПО. Все участники схемы подключены в Интернет.

VPN создан с помощью Kerio Control 9.3.5. Керио установлен, настроен и работает. У ЛВС назначен внешний статический IP-адрес. Для VPN использован протокол IPsec (сокращение от IP Security) wiki. Клиенты подключаются через встроенное в Windows приложение для VPN.

Порядок действий.

1.Активация VPN сервера.

2.Настройка сервера VPN IPsec.

3.Настройка правил трафика.

4.Настройка пользователя VPN в сервер.

5.Настройка VPN-клиента.

6.Подключение к VPN.

7.Автозапуск VPN при включении ПК.

 

1.Активация.

Активация VPN-сервера в Kerio Control происходит на вкладке бокового меню «Интерфейсы».  Необходимо кликнуть по VPN-серверу мышкой два раза и войти в настройку. Для добавления нового VPN в нижней части окна нажмите на кнопку «Добавить» и выберите желаемый способ из раскрывшегося списка.

 

2.Настройки VPN-сервера.

Переходим в свойства VPN-сервера и выполняем следующие настройки.

1.Включить сервер IPsec VPN – отмечаем галочкой.

2.VPN-сеть: 192.168.100.0 — удобный IP-адрес для сети VPN.

3.Маска 255.255.255.0 – маска, соответствующая IP.

4.Сертификат первоначально не используем. Когда VPN заработает можно добавить сертификат.

5.Использовать сертификат для клиентов – галочку не ставим.

6.Использовать предопределенный ключ: указываем сложный ключ-пароль из латинских букв разного регистра, цифр и спец.символов.

7.Включить аутентификацию MS-CHAPv2 – отмечаем галочкой.

На вкладках KerioVPN, DNS, WINS настройки не изменялись. Если Керио привязан к домену, в настройках DNS нужно указать IP-адрес DC.

Нажимаем ОК для сохранения настроек. Сервер IPsec VPN начнет работать.

 

3.Правила трафика.

Для работы VPN понадобятся разрешающие правила трафика.  Переходим в боковом меню в раздел «Правила трафика» и создаем новые или редактируем существующие правила. Должно получится 3 правила как на картинке ниже.

Internet access (NAT) – правило позволяет выходить в Интернет. В графе «Источник» должны быть указаны «Клиенты VPN».

Local traffic – правило разрешает локальный трафик. VPN клиенты получают доступ к общим ресурсам в локальной сети.

VPN – правило разрешает подключение из Интернета в Керио по Ipsec и Kerio VPN.

 

4.Настройка пользователя VPN в сервер.

В разделе пользователей нужно указать кому можно подключатся к VPN. Для этого выбираем пользователя из списка.

 

Открываем редактирование пользователя и на вкладке права отмечаем галочку «Пользователь может подключ., используя VPN».

 

На вкладке «Адреса» каждому клиенту можно назначить статический IP-адрес в VPN.

Нажимаем ОК для сохранения введенных параметров.

Настройка VPN подробно расписана в официальном мануале Керио.

 

5.Настройка VPN-клиента.

Клиентами VPN будут компьютеры с ОС Windows 7 и Windows 10, расположенные вне локальной сети и подключенные к Интернету.

Создадим новое VPN подключение в Центре управления сетями и общим доступом. Для Windows 7-10 этот процесс почти одинаковый.

Выбираем создание нового подключения или сети.

 

Выбираем вариант подключения – Подключение к рабочему месту.

 

Если ранее в компьютере уже создавались VPN подключения, то на возникший вопрос – «Использовать имеющееся подключение» выбираем ответ – «Нет, создать новое».

 

Выбираем «Использовать мое подключение к Интернету (VPN).

 

В следующем шаге мастера указываем внешний статический IP адрес Керио. Имя указываем любое понятное.

 

Указываем имя VPN пользователя в Керио и его пароль.

 

Через некоторое время после нажатия кнопки «Создать» подключение будет готово.

 

Отредактируем свойства созданного VPN подключения в сетевых соединениях.

 

На вкладке «Безопасность» вводим следующие настройки.

1.Тип VPN: L2TP Ipsec VPN.

2.Шифрование данных: обязательное (отключится, если нет шифрования).

3.Разрешить следующие протоколы: Протокол Micrsoft CHAP версии 2 (MS-CHAP v2)

 

На этой же вкладке «Безопасность» переходим в дополнительные свойства.

1.Отмечаем точкой настройку – «Для проверки подлинности использовать предварительный ключ.

2.Вводим ключ-пароль, такой же как в настройках Керио.

3.Нажимаем ОК для сохранения.

 

Переходим на вкладку «Сеть».

1.Выбираем Протокол Интернета версии 4 (TCP/IP).

Нажимаем кнопку «Свойства».

 

Переходим в раздел дополнительных свойств.

 

На вкладке параметры IP есть настройка «Использовать основной шлюз в удаленной сети».

Если галочка стоит, то весь трафик пойдет через Керио. В этом случае его можно контролировать, и он попадает под все правила и настройки Kerio Control. Недостаток в замедлении скорости передачи.

Если галочку убрать, то пользователь VPN будет использовать свой стандартный шлюз для выхода в Интернет, а в Керио будут идти только пакеты для назначенных целей.

Дополнение.

В результате тестов установлено, при отсутствии выше названой галочки у клиента VPN отсутствует доступ к внутренним ресурсам сети.

Проблема решается статическим маршрутом на ПК клиента VPN.

1.В командной строке вводим



для уточнения номера соединения. (VPN-KERIO = 65)

При каждом новом создании, пересоздании VPN-соединения номер меняется.

2.Вводим маршрут



192.168.1.0 mask 255.255.255.0 — сеть назначения с маской

192.168.100.1 – IP-адрес VPN-сервера (VPN шлюз)

metric 1 –  метрика

if 65 – номер интерфейса

-p – сохранение маршрута после перезагрузки ПК.

 

Удаление маршрута (если понадобится).



 

6.Подключение VPN.

Чтоб активировать VPN, нажимаем на значок компьютера (сеть) в нижней правой части экрана. В раскрывшемся списке выбираем нужное соединение и нажимаем кнопку «Подключение».

 

В открывшемся подключении вводим логин и пароль учетной записи пользователя VPN.  Нажимаем кнопку «Подключение».

 

Чтоб это окно не появлялось каждый раз можно убрать галочку «Запрашивать имя, пароль, сертификат и т.д.»  в свойствах подключения на вкладке «Параметры».

Если все настройки выполнены правильно и нет проблем с Керио, его активацией, дистрибутивом, версией и прочих нюансов, то произойдет VPN подключение.

Можно пробовать пинговать сервер в локальной сети с компьютера VPN клиента. Часто доступу препятствует антивирус. Так же можно проверить доступ к общим папкам в локальной сети или подключение к удаленному рабочему столу сервера.

В меню Kerio Control отобразятся подключенные пользователи в разделе «Клиенты VPN».

 

7.Автозапуск VPN при включении ПК.

Все действия выполняются на ПК клиента VPN. Автозапуск осуществляется через добавления параметра в реестре.

1.Входим в реестр Windows. Win+R >> regedit

 

2.Переходим по ветке каталогов.

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun – автозапуск для всех пользователей.

(HKEY_CURRENT_USER – только для текущего пользователя)

 

3.Создаем новый строковый параметр со значением rasdial VPN-KERIO admin Password12345.

vpn – любое понятное имя латиницей

rasdial – приложение, которое запускает VPN

VPN-KERIO – название VPN соединения (как при создании)

admin – имя VPN пользователя в Керио

Password12345– пароль VPN пользователя в Керио

Нажимаем ОК и перезагружаем ПК.

Теперь после входа в учетную запись будет появляться командная строка с ходом подключения к VPN.

VPN подключится автоматически.



2021-01-25T15:20:27

MikroTik – настройка VPN PPTP(Remote Access).

На этой странице рассмотрено создание VPN (Virtual Private Network «виртуальная частная сеть») для удаленного доступа пользователя на ОС Windows 10 к сети организации с использованием протокола PPTP через маршрутизатор MikroTik.

Освоить MikroTik Вы можете с помощью онлайн-куса
«Настройка оборудования MikroTik». Курс содержит все темы, которые изучаются на официальном курсе MTCNA. Автор курса – официальный тренер MikroTik. Подходит и тем, кто уже давно работает с микротиками, и тем, кто еще их не держал в руках. В курс входит 162 видеоурока, 45 лабораторных работ, вопросы для самопроверки и конспект.

PPTP (Point-to-Point Tunneling Protocol) туннельный протокол типа точка-точка, позволяющий компьютеру устанавливать защищённое соединение с сервером за счёт создания специального туннеля в стандартной, незащищённой сети wiki. PPTP обладает уязвимостью в протоколе аутентификации MS-CHAP v.2. Уязвимость была закрыта за счет протокола расширенной проверки подлинности EAP (PEAP). Разработчик протокола корпорация Microsoft рекомендует вместо PPTP использовать L2TP или SSTP. Так как PPTP встроен в каждый Windows и легко настраивается, его еще используют. Описание PPTP представлено в исторических целях и для понимания упрощенной настройки VPN. Взломостойкость зависит от сложности и длинны пароля.

Схема подключения удаленного пользователя к сети организации на рисунке ниже.

VPN создан с помощью роутера MikroTik RB750Gr3 с прошивкой 6.47.

Первоначальная настройка роутера выполнена по этой инструкции.

Быстрая настройка VPN PPTP представлена тут .

 

Порядок действий.

1.Подключение в роутер.

2.Активация сервера PPTP.

3.Создание пула IP адресов.

4.Создание профиля доступа.

5.Создание пользователя VPN.

6.Правила Firewall.

7.Настройка VPN соединения пользователя (клиента) в Windows 10.

8.Подключение к общей папке через VPN.

9.Подключение RDP через VPN.

 

1.Подключение.

Входим в меню роутера из локальной сети через WinBox (ССЫЛКА).

1.Запускаем WinBox, нажимаем на вкладку Neighbors и видим доступные в сети роутеры.

2.Кликаем на MAC или IP-адрес нужного роутера.

3.Адрес отобразится в строке Connect To:

4.Вводим логин.

5.Вводим пароль.

6.Нажимаем кнопку «Connect».

 

2.Активация сервера PPTP.

1.В боковом меню выбираем PPP.

2.В открывшемся окне PPP переходим на вкладку Interface.

3.В верхней панели нажимаем кнопку PPTP Server.

4.В открывшемся окне ставим галочку напротив Enable.

5.Нажимаем кнопку «ОК».

Через командную строку терминала:



 

3.Создание пула IP-адресов для VPN пользователей.

1.В боковом меню выбираем IP.

2.В раскрывшемся меню выбираем Pool.

3.В открывшемся окне IP Pool переходим на вкладку Pools.

4.Нажимаем синий крест (плюс).

В открывшемся окне NEW IP Pool вводим параметры:

5.Name: VPN-PPTP (любое понятное имя латиницей)

6.Addresses: 192.168.100.10-192.168.100.254 (желаемый диапазон IP для VPN)

7.Нажимаем кнопку «ОК».

Через командную строку терминала:



 

4.Создание профиля VPN

Выполняем действия в меню PPP

1.Переходим на вкладку Profiles.

2.Нажимаем синий крест (плюс).

В окне создания нового профиля вводим:

3.Name: PC360VPN (любое понятное имя латиницей).

4.Local Adress: 192.168.100.1 (адрес роутера в VPN)

5.Remote Address: VPN-PPTP(выбираем созданный ранее пул или указываем IP-адрес который присвоится для удаленного клиента)

6.Нажимаем кнопку «ОК».

Через командную строку терминала:



Если к пользователю VPN понадобится постоянное и частое удаленное подключение, то необходимо будет знать его IP-адрес. При раздаче пула IP адрес может оказаться любой из заданного диапазона. Поэтому альтернативный вариант — не использовать пул IP-адресов, а привязать пользователя к конкретному IP. Для этого при создании профиля нужно указывать IP-адрес в поле Remote Address. Затем привязывать профиль к пользователю. Это можно сделать так же при создании пользователя  (см.далее).

 

5.Создание пользователя.

1.В меню PPP переходим на вкладку Secrets.

2.Нажимаем синий крест (плюс).

В открывшемся окне вводим:

3.Name: WunderbareVPN1 (имя пользователя )

4.Password: 12345Password (сложный пароль из латинских букв и цифр разного регистра)

5.Service: pptp

6.Profile: PC360VPN (созданный ранее профиль, выбираем из выпадающего списка)

7.Нажимаем кнопку «ОК».

Новый пользователь появится в списке. Пользователя vpn (дефолтного) лучше отключить или удалить.

Через командную строку терминала:



Удаление пользователя vpn.



В поле Remote Adress можно указать IP-адрес, который будет всегда присвоен к этому пользователю.

Создаем необходимое количество пользователей аналогичными действиями.

Когда VPN начнет работать, в логе можно отследить подключение созданных пользователей к сети.

 

6.Правила firewall.

Правила необходимы при настроенном firewall,  в случае если в низу всего списка размещено правило, запрещающее все прочие подключения по входу в роутер.

PPTP требует одновременного установления двух сетевых сессий – GRE(установка сессии) и соединение на TCP-порту 1723 (для инициации и управления GRE-соединением).  wiki

 

6.1Правило для открытия порта 1723.

1.В боковом меню выбираем пункт IP.

2.В выпадающем меню выбираем Firewall.

3.В открывшемся окне переходим на вкладку Filter Rules.

4.Нажимаем синий крест (плюс).

В открывшемся окне вводим настройки:

5.Chain: input (вход)

6.Protocol: tcp (протокол)

7.Dst. Port: 1723 (порт назначения)

8.In Interface: ether1 (внешний интерфейс)

9.Переходим на вкладку Action.

На вкладке Action вводим:

10.Action: accept

11.Нажимаем кнопку ОК для сохранения правила.

Через командную строку терминала:



 

6.2Правило для разрешения GRE.

1.В боковом меню выбираем пункт IP.

2.В выпадающем меню выбираем Firewall.

3.В открывшемся окне переходим на вкладку Filter Rules.

4.Нажимаем синий крест (плюс).

В открывшемся окне вводим настройки:

5.Chain: input (вход)

6.Protocol: gre (протокол)

7.In Interface: ether1 (внешний интерфейс)

8.Переходим на вкладку Action.

На вкладке Action вводим:

9.Action: accept

10.Нажимаем кнопку ОК.

Через командную строку терминала:



 

В списке правил появятся два новых. Расположить их нужно в самом верху списка.

 

6.3Правило NAT.

NAT masquerade для VPN трафика. Правило создается на вкладке NAT аналогично предыдущим правилам.

Через командную строку терминала:



 

7.Настройка VPN соединения клиента в Windows 10.

Удаленный компьютер подключен в Интернет. В этом ПК переходим в управление сетями.

Панель управления >> Сеть и Интернет >> Центр управления сетями и общим доступом.

Создаем новое подключение.

 

Среди вариантов подключения выбираем – «Подключение к рабочему месту».  Далее.

 

Выбираем – «Использовать мое подключение к Интернету (VPN)».

 

В следующем пункте указываем внешний статический IP-адрес роутера или внешний идентификатор MikroTik(1234567891443.sn.mynetname.net у каждого роутера свой).

В поле имя пишем любое понятное имя латинскими буквами. Отмечаем галочкой «Запомнить учетные данные».

Нажимаем кнопку «Создать».

 

Отредактируем свойства созданного VPN подключения в сетевых соединениях.

 

В свойствах переходим на вкладку безопасность. Указываем следующие параметры.

1.Тип VPN: Туннельный протокол точка-точка (PPTP).

2.Шифрование данных: обязательное (отключится если нет шифрования)

3.Разрешить следующие протоколы – отмечаем точкой.

4.Протокол Microsoft CHAP версия 2 (MS-CHAPv2).

5.Кнопка «ОК» для сохранения настроек.

 

В нижней правой части экрана нажимаем на значок сети, выбираем из раскрывшегося списка нужное соединение и нажимаем кнопку «Подключится».

 

В окне авторизации вводим учетные данные пользователя VPN.

 

После правильного ввода учетных данных произойдет подключение.

В случае если нужно изменить учетные данные, сделать это можно в меню параметров Windows 10 «Сеть и Интернет».

 

Выбираем VPN >> созданное соединение >> Дополнительные параметры.

 

Изменяем и сохраняем параметры.

 

8.Подключение к общей папке через VPN.

Пользователю VPN1 нужно получить доступ к общей папке у пользователя VPN2.

 

Общая папка создана, доступ к ней открыт для всех.

 

На компьютерах обоих пользователей выполнены все предыдущие настройки, пользователи подключены к VPN.

В настройках PPP роутера переходим на вкладку Active Connections и находим нужного нам пользователя. Переписываем его IP-адрес.

Можно задать постоянный IP-адрес при настройке пользователя в графе Remote Address.

 

Проверяем в командной строке с помощью команды ping связи с компьютером нужного пользователя.

 

Для доступа к общей папке открываем Мой Компьютер и в адресной строке вводим IP-адрес компьютера, в котором находится общая папка.



Нажимаем кнопку «Enter».

В открывшейся форме для авторизации указываем учетные данные пользователя Windows или администратора.

 

Для гарантированного подключения нужно вводить имя компьютера (домена) и через слэш имя пользователя, например MYPCadmin.

После правильного ввода логина и пароля откроется все, что в общем доступе у пользователя VPN2.

 

9.Подключение RDP через VPN.

Первоначально удаленный доступ нужно активировать в настройках системы  пользователя VPN2.

 

Запускаем RDP, вводим IP-адрес пользователя VPN.

 

При авторизации вводить нужно данные учетной записи ПК (домен/имя пользователя или уч.запись администратора).

 

При появлении сообщения о сертификате, нажимаем ДА. Галочкой можно отметить пункт о том, чтоб этот вопрос больше не задавался.

 

Наконец, видим рабочий стол пользователя VPN.

 

Освоить MikroTik Вы можете с помощью онлайн-куса
«Настройка оборудования MikroTik». Курс содержит все темы, которые изучаются на официальном курсе MTCNA. Автор курса – официальный тренер MikroTik. Подходит и тем, кто уже давно работает с микротиками, и тем, кто еще их не держал в руках. В курс входит 162 видеоурока, 45 лабораторных работ, вопросы для самопроверки и конспект.



2020-12-25T10:27:25
Настройка ПО