Главная | Контакты
Главная > Оборудование > Коммутатор, свитч, маршрутизатор, хаб, роутер > Mikrotik

Настройка Mikrotik PPPoE / PPTP / L2TP

Предварительно настройте ваши интерфейсы и VLAN а также дайте нужные IP и настройте маршрутизацию.
Для начала выключим систему мониторинга всех интерфейсов, для этого нажмите Tools->Graphing , выберете all и нажмите на минус. Теперь вы удалили графики для всех интерфейсов. для тех которые Вам нужны , добавте их персонально. Это освободит "много" ресурсов системы от ненужной нагрузки.

В разделе IP->DNS  нажмите на "Settings" и укажите ваш DNS сервер, так же разрешите запросы от клиентов, если вам это необходимо, укажите размер DNS кеша.

Используя утилиту Tools->Ping проверте доступность интернет, биллинга и других узлов, какие должен видеть ваш NAS

Откройте окно  IP-> Service ,в нем активируйте сервисы которые вам понадобятся, ниже приведен необходимый минимум сервисов для обычной работы.
Выделив и нажав правую кнопку мыши вы можете их активировать.

Откроем System->Clock  и  укажите ваш часовой пояс и текущее время.

После настройки интернета, активируйте систему NTP для синхронизации времени.
Откройте System->NTP Client
Включите службу, выберете mode unicast и укажите сервер как на скриншоте.

Важный момент работы служб Mikrotik.
Из-за большого количества скан-ботов в интернете и постоянных подборов паролей, службы управления Mikrotik (кроме winbox) могут зависать, что весьма не желательно для работы.
Рекомендуется разрешить полный доступ для ваших IP (биллинг и другие узлы) в первых правилах цепочки input.
И следом за ним сделать DROP на портах TCP 21,22,23,8728 для всех хостов.
Ниже пример подобной настройки.

Откроем окно Queues. Переходим во вкладку Queue Types.
Далее открываем по очереди тип щейпера - "default" и "default-small" и меняем тип очереди на SFQ как показано ниже.

Открываем вкладку Radius и жмем на "+" как указано ниже.

В появившемся окне поставте галочку на услуге PPP (для PPPoE / PPTP / L2TP)  или же  HotSpot (для доступа по IP из локалки или же WIFI)
Укажите в графе address - IP биллинговой машины.
Секрет - этот же секрет вы укажите в настройке NAS-сервера в "админке" биллилнга.
Timeout - для одного сервера поставте 10000.
Если у вас несколько серверов с radius то укажите для каждого timeout пропорционально 10000 поделив на количество radius серверов для каждого сервера.

После добавления сервера настром входящие соединения от Radius.
Нажмем на "Incoming".
Включим службу и укажим порт, после версии 3.22 порт стал не 1700 а 3799.
По умолчанию в биллинге указан порт 3799.
В соотвествии с этим в настройках NAS-сервера в "админке" биллинга укажите тот же самый порт.

Взаимодействие с биллилнгом у вас уже настроено, осталось теперь настроить службу для доступа абонентов.
Если хотите сделать HotSpot, то на данном этапе перейдите к инструкции по настройке доступа по IP / HotSpot.
Доступ по PPPoE / PPTP / L2TP
Открываем окно PPP
Нажимаем на "PPTP Server" или "L2TP Server" или другой сервер по вашему желанию.
Ниже приведен пример PPTP и L2TP c использованием профиля с шифрованием данных.
Чтобы отключить шифрование выберете профиль "default" и отключите типы авторизации mschap1 и mschap2

Добавление PPPoE сервиса.
Переходим во вкладку PPPoE Servers
указываем имя сервиса.
Выбираем интерфейс на котором будет доступен сервис.
Обычно для этой услуги используют доступ без шифрования, ниже подобный пример.

Переходим во вкладку Secrets
Нажимаем на "PPP Authentication & Accounting" и делаем как на скриншоте.

Осталось настроить профили и уже можно будет использовать Ваш сервер доступа.
Переходим к вкладке Profiles
Открываем профили "default" и "default-encryption".
На вкладке General в профиле обязательно указать

ВНИМАНИЕ

Local Address - этот IP должен быть уникальным в вашей сети, и не быть связаным ни с каким блоком адресов в вашей сети.
Например  локальная сеть из блока 10.0.0.0/8 , серые адреса для клиентов 172.16.0.0/12 остался свободный блок 192.168.0.0/16
соотвественно 192.168.0.1 нигде не используется и можно его использовать.
Так удобней всего.
DNS и WINS сервер по желанию, единственное что не ставьте адрес DNS тем же, что и Local Address,  лудше указать один из адресов биллинговой машины или же другой DNS вашей сети.

Ниже приведен пример настроек профилей, для шифрования и без него.

Ниже приведен пример вкладки Limits, со стандартными настройками.

Базовая настройка завершена.

Материал взят с сайта:
Главная > Оборудование > Коммутатор, свитч, маршрутизатор, хаб, роутер > Mikrotik

В сегодняшней статье расскажем про способ настройки IPsec сервера на Mikrotik, который будет особенно актуален для пользователей MacOS и iOS - L2TP

Дело в том, что в старших релизах iOS и macOS, компания Apple убрала поддержку PPTP из-за уязвимостей безопасности данного протокола. Поэтому, если раньше вы использовали PPTP для подключения к ресурсам локальной сети, то начиная с версий macOS 10.12 и iOS 10 этого сделать не получится.

Настройка

Итак, давайте перейдём к настройке. В нашем случае используется роутер RB951Ui-2HnD и RouterOS версии 6.23. Для настройки будем пользоваться утилитой WinBox последней версии.

Для начала назначим IP адресацию для VPN сети:

IP адресация для VPN сети

Теперь необходимо включить и настроить L2TP сервер, для этого в меню WinBox слева открываем PPPL2TP Server, включаем сервер, отметив галочкой Enabled, выбираем Use IPsec и задаём пароль:

Включить L2TP сервер

Далее нужно создать пул адресов, который будет назначаться пользователям, которые будут подключаться к нашему серверу. Вы также можете назначить IP адреса вручную, однако, если пользователей будет много, рекомендуется всё же создать пул. Для этого открываем IPPool и создаём новый пул.

Пул адресов для VPN сети

Создадим профиль для пользователей, которые будут подключаться к нашему серверу, в котором укажем ранее созданный пул назначаемых адресов. Для этого открываем PPPProfile+ и добавляем новый профиль, в котором указываем пул, адреса из которого нужно назначать и DNS серверы:

Профиль для пользователей L2TP

Теперь создадим учётную запись для пользователей, которые будут подключаться к нашему серверу и укажем в ней ранее созданный профиль. Для этого открываем PPPSecret+ и заполняем следующие поля:

Создать учётную запись для пользователей

Осталось создать IPsec Peer для L2TP и можно подключаться к нашему новому серверу. Для этого открываем IPIPsecPeers+ и заполняем поля следующим образом:

IPsec Peer для L2TP

Поля во вкладках Advanced и Encryption можно оставить по умолчанию.

Полезна ли Вам эта статья?

Пожалуйста, расскажите почему?

Нам жаль, что статья не была полезна для вас :( Пожалуйста, если не затруднит, укажите по какой причине? Мы будем очень благодарны за подробный ответ. Спасибо, что помогаете нам стать лучше!

Подпишитесь на нашу еженедельную рассылку, и мы будем присылать самые интересные публикации :) Просто оставьте свое данные в форме ниже.

P.S. Если укажите свою дату рождения, то мы обязательно Вас поздравим и подарим небольшой подарок :)

Please enable JavaScript to view the comments powered by Disqus.
Как настроить PPTP сервер на Mikrotik с авторизацией?

Сразу оговорюсь, что PPTP считается не самым безопасным протоколом для VPN.

Задача: пустить сотрудника из дома по RDP к его рабочему ПК.

Погнали....

1. Заходим и кликаем PPP - PPTP Server

mikrotik-pptp-server-1
2. Включаем сервер и убираем лишние (не шибко защищенные протоколы и оставляем только один)

mikrotik-pptp-server-2
3. Добавляем наших юзверей, заходим в Secrets и кликаем плюсик

mikrotik-pptp-server-3
4. Добавляем логин, пароль, в поле Serivice выбираем pptp. В поле locale address пишем адреса нашего микротика (pptp сервера), в remote address ручками пишем адрес который получит клиент pptp т.е. наш сотрудник (адреса можно назначать через dhcp, но у меня всего 5 человек и я адреса назначаю в ручную)

mikrotik-pptp-server-4

5. После этого настраиваем два правила фаервола для tcp/1723 и gre.
Вкладка general
chai: input
Dst. address: ставим айпи адрес нашего интерфейса на котором сервер будет принимать соединения
Protocol: tcp
Dst port: 1723
In interface: нужный ван порт
Вкладка Action
Action: accept
Для gre все точно так же, только Protocol: gre

mikrotik-pptp-server-5
mikrotik-pptp-server-6
mikrotik-pptp-server-7
mikrotik-pptp-server-8

Не забываем эти правила поставить выше запрещающих правил.

После манипуляций выше, подключение должно проходить и все должно быть хорошо, но!

Нам еще нужно чтобы удаленный клиент видел локальную сеть за микротиком, для этого в настройках локальной сети нужно поставить ARP в положение proxy-arp.

Для этого, шагаем в пункт Interface, ищем наш локальный интерфейс (у меня это мастер порт, т.к. вся маршрутизация идет не через бридж, а через мастер порт). И в нем выставляем в пункте arp: proxy-arp.

После этих манипуляций внешний клиент должен спокойно видеть локальную сеть за роутером.

mikrotik-pptp-server-9

p.s. сильно просьба не пинать, т.к. с микротиками пока что на вы.

Для точного поддержания баланса и аэродинамических свойств орел, при выпадении пера из одного крыла теряет такое же перо из другого крыла.