avatar Прямые руки Настраиваем VPN сервер PPTP на Mikrotik RouterOS

Я уже описывал настройку роутера для провайдера Beeline и как к нему прикрутить службу DDNS, для подключения к VPN серверу, но вот инструкцию о том как настроить сам VPN-сервер, я как-то упустил из виду. Я получил письмо с просьбой о том как настроить VPN сервер с возможностью выхода в интернет и доступа к локальной сети, ну я и решил исправить это недоразумение.

Для опытов мы сделаем настройки с использованием дефолтных параметров с использованием шифрования

Первым делом создаем пользователя, для этого переходим в раздел PPP


Заходим во вкладку Profiles

нас интересует профиль default-encryption его мы и используем, в дальнейшем вы сами сможете настроить профиль исходя из ваших задач и уровня паранойи


Далее, мы создадим пользователя, от имени которого мы будем подключаться к нашему vpn серверу, заходим во вкладку Secrets жмем + и создаем нового пользователя:


Где:
name — Имя пользователя
password — пароль
service — указываем тип сервиса pptp
profiledefault-encryption
Local Address — указываем IP адрес который будет шлюзом для подключенных пользователей т.к. сеть не большая то можно указать IP шлюза в вашей локальной сети, если это ваш роутер.
Remote Address — адрес который будет выдаваться подключенным vpn клиентам из вашей локальной сети, главное чтобы этот адрес не выдавался DHCP сервером, чтобы не было конфликтов.

Мы создали пользователя с профилем нам осталось настроить и включить PPTP vpn сервер и разрешить к нему доступ.
Cнова заходим в PPP -> Interfaces жмем + и выбираем PPTP Server Binding


В открывшемся окне ничего не меняем, жмем Apply


У нас появился сервер PPTP, на второе подключения не обращайте внимания, через него я подключен к интернет.
наш сервер готов


Нам необходимо разрешить входящие подключения на фаерволле переходим IP->Firewall вкладка FilterRules Создаем новое правило

Где:
Chain — input правило для входящих пакетов
Protocol — tcp
Dest.Port — 1723 порт для подключения, служба работает на этом порту.
In.Interface — указываем сетевой интерфейс который используется для подключения к интернет у меня это l2tp-beeline, у вас скорее всего он будет другим.

Далее переходим во вкладку Action

В строке Action разрешаем пакеты указываем accept


Жмем Apply и OK

Пробуем подключиться снаружи и мы жмем выходить в интернет, но ресурсы локальной сети не доступны, тут все просто, нам необходимо на интерфейсе который обслуживает локальную сеть у меня это сетевой мост, включить arp-proxy
переходим в Bridge выбираем мост который обслуживает локальную сеть и в строке ARP выбираем arp-proxy(обведено красным!)


Теперь создаем VPN подключение к IP адресу который смотрит в интернет или DNS имя, о чем я рассказывал в статье Использование DDNS в MikroTik на примере changeip.com, настраиваем и устанавливаем подключение, все работает.
На этом все.
P.S. В принципе, протокол PPTP давно и успешно взломан, но зато у него есть определенные плюсы, данный протокол не требователен к ресурсам, а также широко распространен, его можно настроить даже не телефоне и ходить в интернет через ваш VPN сервер и если вы гоняете не слишком критичные данные, то схема имеет право на жизнь. Лично я использую данную схему если куда-то уезжаю, из другой страны всегда можно подключиться иначе некоторые сайты не хотят работать ссылаясь на то что вы не из России. Что еще можно настроить на MikroTik

8 комментариев

avatar
Наконец-то простая и наглядная статья! Artful , спасибо!!!

P.S. Для тех, кто делал по статье, но ничего НЕ ЗАРАБОТАЛО:

После того, как создали правило в FilterRules, то это правило необходимо поднять вверх в списке правил, т.к. по-умолчанию оно создаётся внизу, т.е. с наименьшим приоритетом.

комментарий был удален
avatar
Приветствую.
Все сделал, как описано.Подключается со свистом. НО — не имею доступа в локальную сеть. Пытался играться с IP адресами в настройках PPP secret, задавал такие же, как в локалке, задавал другие подсети — не помогло. Внутренний IP микротика пингуется, но и на этом все. Подсеть на клиентской (моей) машине — не совпадает ни с внутренней подсетью локалки, ни с назначенными адресами в РРР-секрет.
Подъем правил для VPN на самый верх — вообще никак не влияет. То 0-е правило запрещающее, что на скрине — ни на что не влияет, поскольку запрещает коннекты только из определенных внешних подсетей (моей там нет, разумеется).
Прошу помочь, поскольку очевидно, что я забыл или не знаю какую-то мелочь, не позволяющую попасть внутрь локальной сети.
Скрины прилагаются.




avatar
Здравствуйте.
Скорее всего нет маршрутов
avatar
И… Как добавить? Я больше по ISA и TMG, а микротик мне в новинку. Привык к мелкософтовым продуктам, которые по 20 раз переспрашивают да и просто не дадут сделать что-то фатальное. А тут…
avatar
Заходите во вкладку IP -> Routers
комментарий был удален
avatar
Делал не по этой инструкции, но всё также. Единственное что непонятно, совпадает ли у вас внутренняя подсеть с той, которую раздаёте VPN пользователям. У меня совпадает. Т.е. на bridge раздаётся 192.168.1.0/24 и впн пользователям назначаю из неё же
Внутренние ресурсы доступны, но только по IP. А вот с виндовой группой беда — не видно в ней никого. Вроде бы названия групп совпадают на всех внутренних ПК и на ПК подключающемся по удалёнке
Есть мысли как это исправить?
Есть что добавить? Регистрируйся и оставляй комментарии!