VPN-туннель представляет собой линию, которая выделена внутри главного канала. Она является более контролируемой и защищенной. EServer https://e-server.com.ua рассказывает, когда необходимо настраивать VPN, и как это сделать через 2 популярных протокола.

Когда нужен VPN

В создании выделенного канала возникает необходимость, когда надо:

• дать доступ к корпоративной сети удаленным сотрудникам или абонентам провайдера;
• соединить 2 удаленных филиала предприятия по безопасному каналу с минимумом затрат.

В простой сети данные не зашифровываются, а VPN обеспечивает их безопасность.

Совет: отключать защиту не рекомендуется. Однако если сетевое оборудование не предусматривает аппаратное шифрование, а за защиту отвечает процессор, тогда отключить эту опцию можно. Так пользователь снизит нагрузку на процессор.

Как правильно настроить VPN по PPtP на MikroTik

3

Такой протокол используют для организации удаленного доступа. Это связка TCP — применяется для обмена данными, и GRE — используется для инкапсулирования пакетов. Хотя PPtP предполагает невысокий уровень безопасности, его выбирают как простой в настройке вариант.

Как делать:

1. Активировать сервер. Зайти в PPP → Interface → PPtP сервер → поставить галочку в Enabled. Теперь нужно убрать флажки с pap и chap, поскольку они обладают низким уровнем безопасности.
2. Создать пользователей. В PPP отыскать Secrets и добавить юзера, кликнув “+”. Прописать данные для входа в соответствующих полях и указать PPTP в Service. Потом необходимо указать айпи роутера, выполняющего функцию сервера, в Local Address. Теперь нужно указать IP пользователя в Remote Address.
3. Прописать правила для Firewall. Необходимо зайди в IP → Firewall → Filter Rules и нажать “+”. В Chain следует прописать input, а в Protocol — tcp. Затем в Dst. Port прописать порт 1723 для туннеля. После этого необходимо перейти в Action и разрешить трафик, кликнув по Accept.
4. Добавить правило для GRE. Здесь действия почти аналогичны предыдущим. Нужно указать input в General, а в строчке для протокола ввести GRE. Затем надо подтвердить разрешение, нажав Accept.

Важно! Эти правила должны стоять перед правилами-запретами. В противном случае ничего не будет работать. В ОС от компании Mikrotik их можно просто переместить в окошке Firewall.

Что еще нужно знать?

Надо активировать proxy-arp в параметрах локалки. Чтобы это сделать, требуется перейти в Interface и отыскать вариант, соответствующий локальной сети. В подходящей строке (расположена в General) обозначить proxy-arp.

Если пользователь создал VPN между двумя маршрутизаторами Микротик, и ему нужно разрешить передавать бродкаст, то следует в Bridge главного устройства вписать профиль удаленного девайса (PPP — Profiles).

Если пользователю необходимо открывать общие папки, которые лежат на локальном PC, надо задействовать порт 445. Он необходим для трафика SMB. Для этого требуется прописать правило forward в брандмауэре.

VPN поднят, теперь нужно его настроить на клиентской стороне. Это делается легко. Сначала создается подсоединение по VPN и указывается айпи серверного маршрутизатора. Потом нужно просто залогиниться.

Как настроить VPN с PPPoE на MikroTik

Это более безопасный вариант, поскольку тут доступно сжатие данных, а также их шифрование. PPPoE просто настраивать, он стабилен, масштабируемый, поддерживает большинство сетевых устройств Mikrotik.

С этим протоколом зашифрованному трафику не страшны ARP-атаки. PPPoE затрачивает меньше ресурсов, а потому меньше нагружает сервер, позволяет использовать динамические айпи адреса.

Настраиваем профили

Если добавить несколько — можно давать им различную пропускную способность:

• Зайти в PPP → Profiles → “+” → дать название профиля → указать локальный адрес маршрутизатора → отметить Change TCP MSS.

Совет: если корректировка MSS не помогла, и некоторые сайты все равно не запускаются, ее придется отключить. А в параметрах сетевого устройства нужно прописать ip firewall mangle add chain=forward protocol=tcp tcp-flags=syn tcp-mss=1453-65535 action=change-mss new-mss=1360 disabled=no через терминал.

• Чтобы улучшить производительность, в “Протоколах” нужно отключить все опции. Но если защита соединения — приоритет, лучше оставить галочку на Use Encryption.
• Если надо задать лимит скорости, это можно сделать в Limits. Первая цифра — трафик, который идет от абонента к серверу, вторая — наоборот.
• Чтобы два абонента с одинаковыми логинами и паролями не смогли подключаться одновременно, нужно найти пункт под названием Only One и отметить Yes.
• Остальные профили можно создать, кликнув Copy. Нужно только поменять имя и установить другой лимит скорости.

Создание учеток пользователей:

1. Найти Secrets в РРР и кликнуть “+”.
2. Ввести логин и код доступа: с ними юзер будет авторизовываться.
3. В графе Service отметить PPPoE, а в Profile — нужный профиль. В данном случае — используемый абонентом тариф.
4. Теперь необходимо присвоить пользователю IP. Сервер раздаст его клиенту, когда тот подключится.

Для каждого юзера нужно создавать отдельную учетку, заменяя данные для авторизации, а также айпи.

Привязка сервера к конкретному интерфейсу Микротик

В PPPoE Servers (раздел PPP) нужно:

• Interface — отметить необходимый для клиентского подключения.
• Keepalive Timeout — установить время ожидания ответа от клиентского устройства до того, как соединение прервется. Обычно ставят полминуты.
• Default Profile — указать профиль по умолчанию. Его будут получать абоненты сразу при подключении.
• В One Session Per Host нужно поставить галочку, разрешив подсоединение только 1 туннеля с клиентского роутера или PC.
• В опциях аутентификации флажки можно как снять, так и оставить — на усмотрение пользователя.

Настройка NAT

Она нужна, чтобы клиенты могли выходить в интернет.

• Необходимо зайти в IP и отметить Firewall. Затем клацнуть на “+” и добавить новое правило. Чтобы роутер мог применять его к трафику, в Chain необходимо поставить srcnat.
• Прописать 10.1.0.0/16 в Src. Address. Это нужно, чтобы перечислить все возможные подключения: через NAT все абоненты с адресами 10.1. (0.0-255.255) смогут входить в сеть.
• В Dst. Address указать адреса под частные сети — !10.0.0.0/8. Так сетевое устройство будет понимать, что если клиент из локалки приходит на такой адрес, то надо соединять его с интернетом напрямую. NAT здесь не используется.
• В Action нужно указать само действие маскарадинга. Необходимо прописать подмену локального адреса на внешний, который принадлежит сетевому девайсу.

Настраиваем VPN-клиент

Если подсоединение к VPN происходит с ПК, тогда надо просто отметить, что соединение осуществляется через протокол PPPoE. Это делается в сетевых настройках компьютера, ноутбука.

Если же подключение абонента осуществляется с помощью точки доступа Mikrotik, тогда надо действовать по-другому:

• Добавить PPPoE интерфейс. Выбрать PPPoE Client в разделе Interface и добавить новый, нажав ”+”. Нужно выбрать вариант, на котором был организован туннель.
• Задать параметры подключения, зайдя в Dial Out. Там нужно прописать логин и пароль. Чтобы не писать DNS адрес вручную, а получать его от сервера VPN, надо поставить флажок на Use Peer DNS.
• Выставить настройки аутентификации. Они должны совпадать с серверными.

Как видно, настроить VPN с помощью сетевых устройств Mikrotik несложно. Главное — выбрать подходящий протокол и следовать инструкции.

Другие Интересные статьи:

Разрешается перепись или копирование текстов новостей только при наличии активной ссылки на rigaportal.lv новости и саму новость Точки доступа Mikrotik — VPN с помощью протоколов PPtP и PPPoE

Всего комментариев: 0

Войдите:

• Отправить