Поднимаем VPN на mikrotik за 5 минут!

Приветствую вас, уважаемые читатели блога navertel.net. Сегодня я покажу вам экспресс-настройку vpn на примере роутера Mikrotik. Какую задачу ставит перед собой данный мануал? Представьте себе ситуацию, когда у вас есть некая локальная сеть под управлением роутера mikrotik, но сами вы находитесь в совершенно другом месте. Вам нужно: а) получить доступ к локальным ресурсам локальной сети, будь то сетевые диски, расшаренные папки и т.д. б) вы хотите выходить в интернет под внешним ip-адресом удаленного микротика в) вам нужно администрировать сервера, которые находятся в удаленной локальной сети. Тут vpn-соединение помогает эффективно этим заниматься, не выставляя свои сервера в интернет напрямую. В качества примера выбран vpn-сервер PPTP, так как относительно легко настраивается и обладает довольно хорошей скоростью.

Несмотря на то, что в сети есть много инструкций по настройке vpn, они либо в полной мере не решают поставленные выше задачи, либо слишком сложны в настройке, либо действия в них неочевидны для новичков. Поскольку микротик — это такая вещь, которую «настроил и забыл», я и пишу эту инструкцию, в том числе для себя в будущем. А то бывает — сделал, а спустя время, не помнишь — как.

После того, как вы авторизовались на микротике, идём в раздел PPP, жмём кнопку PPTP, включаем и отмечаем аутентификацию mschap2.


Следующим шагом переходим на вкладку Secrets. Нажимаем «плюс» и создаем учетную запись для подключения к vpn. Это те самые логин и пароль, которые вы будете использовать для авторизации.
Заполняем Name, Password. Service выбираем PPTP, профиль default.
Local Address — сюда пишете адрес шлюза, то есть самого роутера.
Remote Address — здесь вы резервируете локальный ip-адрес из подсети микротика, который будет вам присваиваться, когда вы будете подключаться. Жмём ОК.

Переходим в раздел Interfaces. На вкладке Interface будут все доступные интерфейсы. Так как я использовал стандартный конфиг при настройке микротика, pppoe-out1 — это внешний интерфейс, именумый wan-портом. Он нас не интересует. И bridge — в который входят остальные 4 лан-порта, он рулит самой локалкой, он-то нам и нужен. Нажимаем edit и на вкладке General видим параметр ARP, из выпадающего списка нужно выбрать proxy-arp. Жмём Apply. Это нужно для того, чтобы подключившись к vpn, вы могли видеть локальную сеть, а не сидеть в изоляции от неё.

 

Идём в раздел IP->Firewall->на вкладку Filter Rules. Жмём «плюс» и заполняем как на скрине ниже. Chain=Input, Protocol=6(tcp), Dst.Port=1723.


Переходим на вкладку Action. Выбираем Accept. Так же рекомендую нажать на Comment и подписать это правило, например, VPN. Чтобы потом, за давностью лет, не вспоминать, что это такое и зачем оно тут. Нажимаем ОК. Правило появится в конце списка, захватываем его мышью и перетягиваем в самый верх, перед запрещающими правилами.


На всякий случай добавим еще одно правило, разрешающее протокол GRE. Chain=Input, Protocol=47(gre)

На вкладке Action выбираем Accept. Жмём ОК. Можете так же прокомментировать это правило, если хотите. Появившееся в конце списка правило захватываем мышкой и перетягиваем вверх, сразу под первое  наше правило.


Настройка закончена! Можете спокойно подключаться. Если в удаленной локальной сети есть общие папки, сетевые диски, то заходим в «Мой компьютер» и добавляем сетевой элемент. Прописываем нужные пути и всё у вас откроется.
Так же, авторы многих мануалов по настройке VPN рекомендуют пробрасывать 445 TCP, 137 UDP, 138 UDP, 139 UDP порты, для того, чтобы была возможность входить в общие сетевые ресурсы. В рамках данной инструкции делать этого настоятельно не рекомендую. Дело в том, что пробрасывая эти порты до целевой машины, мы открываем доступ к ней «снаружи» в явном виде. То есть, зайти туда можно, даже не подключаясь к VPN. Это несёт определённые риски по части безопасности, и VPN в таком случае окажется совершенно бесполезен. Спасибо за внимание!


На правах автора хочу напомнить, что у нас есть группа вк и телеграм-чат, где можно пообщаться на компьютерную и сетевую тематику.


Комментариев пока нет, будьте первым.

    Добавить комментарий