Прямые руки → Настраиваем VPN сервер PPTP на Mikrotik RouterOS

Для опытов мы сделаем настройки с использованием дефолтных параметров с использованием шифрования
Первым делом создаем пользователя, для этого переходим в раздел PPP

Заходим во вкладку Profiles

нас интересует профиль default-encryption его мы и используем, в дальнейшем вы сами сможете настроить профиль исходя из ваших задач и уровня паранойи

Далее, мы создадим пользователя, от имени которого мы будем подключаться к нашему vpn серверу, заходим во вкладку Secrets жмем + и создаем нового пользователя:

Где:
name — Имя пользователя
password — пароль
service — указываем тип сервиса pptp
profile — default-encryption
Local Address — указываем IP адрес который будет шлюзом для подключенных пользователей т.к. сеть не большая то можно указать IP шлюза в вашей локальной сети, если это ваш роутер.
Remote Address — адрес который будет выдаваться подключенным vpn клиентам из вашей локальной сети, главное чтобы этот адрес не выдавался DHCP сервером, чтобы не было конфликтов.
Мы создали пользователя с профилем нам осталось настроить и включить PPTP vpn сервер и разрешить к нему доступ.
Cнова заходим в PPP -> Interfaces жмем + и выбираем PPTP Server Binding

В открывшемся окне ничего не меняем, жмем Apply

У нас появился сервер PPTP, на второе подключения не обращайте внимания, через него я подключен к интернет.
наш сервер готов

Нам необходимо разрешить входящие подключения на фаерволле переходим IP->Firewall вкладка FilterRules Создаем новое правило

Где:
Chain — input правило для входящих пакетов
Protocol — tcp
Dest.Port — 1723 порт для подключения, служба работает на этом порту.
In.Interface — указываем сетевой интерфейс который используется для подключения к интернет у меня это l2tp-beeline, у вас скорее всего он будет другим.
Далее переходим во вкладку Action
В строке Action разрешаем пакеты указываем accept

Жмем Apply и OK
Пробуем подключиться снаружи и мы жмем выходить в интернет, но ресурсы локальной сети не доступны, тут все просто, нам необходимо на интерфейсе который обслуживает локальную сеть у меня это сетевой мост, включить arp-proxy
переходим в Bridge выбираем мост который обслуживает локальную сеть и в строке ARP выбираем arp-proxy(обведено красным!)

Теперь создаем VPN подключение к IP адресу который смотрит в интернет или DNS имя, о чем я рассказывал в статье Использование DDNS в MikroTik на примере changeip.com, настраиваем и устанавливаем подключение, все работает.
На этом все.
P.S. В принципе, протокол PPTP давно и успешно взломан, но зато у него есть определенные плюсы, данный протокол не требователен к ресурсам, а также широко распространен, его можно настроить даже не телефоне и ходить в интернет через ваш VPN сервер и если вы гоняете не слишком критичные данные, то схема имеет право на жизнь. Лично я использую данную схему если куда-то уезжаю, из другой страны всегда можно подключиться иначе некоторые сайты не хотят работать ссылаясь на то что вы не из России. Что еще можно настроить на MikroTik
8 комментариев
P.S. Для тех, кто делал по статье, но ничего НЕ ЗАРАБОТАЛО:
После того, как создали правило в FilterRules, то это правило необходимо поднять вверх в списке правил, т.к. по-умолчанию оно создаётся внизу, т.е. с наименьшим приоритетом.
Все сделал, как описано.Подключается со свистом. НО — не имею доступа в локальную сеть. Пытался играться с IP адресами в настройках PPP secret, задавал такие же, как в локалке, задавал другие подсети — не помогло. Внутренний IP микротика пингуется, но и на этом все. Подсеть на клиентской (моей) машине — не совпадает ни с внутренней подсетью локалки, ни с назначенными адресами в РРР-секрет.
Подъем правил для VPN на самый верх — вообще никак не влияет. То 0-е правило запрещающее, что на скрине — ни на что не влияет, поскольку запрещает коннекты только из определенных внешних подсетей (моей там нет, разумеется).
Прошу помочь, поскольку очевидно, что я забыл или не знаю какую-то мелочь, не позволяющую попасть внутрь локальной сети.
Скрины прилагаются.
Скорее всего нет маршрутов
Внутренние ресурсы доступны, но только по IP. А вот с виндовой группой беда — не видно в ней никого. Вроде бы названия групп совпадают на всех внутренних ПК и на ПК подключающемся по удалёнке
Есть мысли как это исправить?