Настройка mikrotik vpn клиента. Настройка VPN через MikroTik – PPtP и PPPoE

Записки IT спеца

С ростом значения веба в нашей ежедневной жизни все наиболее нужными стают разные сетевые технологии. Ежели ранее VPN был в большей степени уделом больших организаций, то сейчас он употребляется чуток ли не в каждой сети, вправду, сотрудники стали мобильными и удаленный доступ к ресурсам сети уже не блажь, а насущная необходимость. Настройка роутера Mikrotik как VPN-клиента вопросец, на 1-ый взор, обычный, но есть некие не тривиальные моменты, которые мы разберем в данной статье.

Освоить MikroTik вы сможете с помощью онлайн-курса «Настройка оборудования MikroTik». В курсе изучаются все темы из официальной программы MTCNA. Создатель – официальный тренер MikroTik. Материал подступает и тем, кто уже издавна работает с оборудованием MikroTik, и тем, кто еще не держал его в руках. В состав входят 162 видеоурока, 45 лабораторных работ, вопросцы для самопроверки и конспект.

В прошедших материалах мы уже кратко разглядывали типы VPN и направляли внимание на неоднозначность используемой терминологии, обычно термином VPN именуют клиент-серверные соединения, где не считая туннельного протокола используются вспомогательные технологии для установления соединения и контроля его состояния, аутентификации юзера, согласования характеристик подключения и т.д. и т.п. Одним из таковых протоколов является PPP.

В рамках данной статьи мы будем разглядывать варианты опции Mikrotik конкретно в качестве клиента для поддерживаемых типов VPN-серверов, оставив за кадром туннельные подключения (GRE, IP-IP, EoIP и т.д.). Для работы с сиим типом соединений употребляется особый раздел PPP, на закладке Interfaces которого можно добавить сетевой интерфейс для подходящего типа VPN-клиента. Поддерживаются PPTP, L2TP, SSTP и OpenVPN подключения. Также в перечне находятся устаревший PPP и PPPoE, который употребляется для организации доступа в веб, в данном контексте эти протоколы энтузиазма не представляют.

Также подобные деяния можно выполнить и в разделе Interfaces, никакой различия откуда вы будете добавлять сетевой интерфейс нет. Но не будем торопиться и перейдем на закладку Profiles, где находятся профили используемые при коммутируемых подключениях. По умолчанию сделаны два профиля: default и default-encryption, в которых содержатся некие опции для подключения. Почему некоторые? Поэтому что большая часть опций подключения задаются сервером и клиент должен использовать конкретно их, по другому подключение будет неосуществимым. Потому ежели вы заглянете в эти профили, то увидите, что большая часть опций там не активно.

Единственным различием 2-ух профилей является функция Use Encryption, которая в default-encryption установлена в положение yes и просит обязательного шифрования подключения. Данная функция игнорируется протоколами SSTP и OpenVPN, которые всегда употребляют шифрованные подключения.

Означает ли это, что ежели мы выберем профиль default, то ваше соединение не будет шифроваться? Нет, ежели сервер употребляет шифрование и не допускает опасных подключений, то ваше соединение также будет зашифровано. Но вот ежели сервер разрешает опасные подключения, то клиент полностью может подключиться без шифрования, таковым образом можно выполнить атаку с заменой сервера, когда вы получите незашифрованное подключение и не будете знать о этом. Потому ежели для вас очевидно требуется шифрование канала постоянно выбирайте профиль default-encryption.

Мы не рекомендуем поменять опции в обычных профилях, ежели для вас необходимо очевидно задать другие опции подключения, то сделайте свой профиль. Также учтите, что функция Use Compression игнорируется для OpenVPN соединений, которые в реализации от Mikrotik не могут употреблять сжатие трафика.

PPTP-клиент

Пожалуй, это самый обычной в настройке тип соединений. Невзирая на то, что используемое в PPTP шифрование не является надежным, этот протокол продолжает обширно употребляться благодаря низким накладным расходам и высочайшей скорости работы, к примеру, для доступа в интернет.

Для опции PPTP клиента добавьте интерфейс типа PPTP Client и перейдите на закладку Dial Out, где размещены сетевые настройки.

Настроек незначительно, и они просты. В поле Connect To укажите FQDN либо IP-адрес VPN-сервера, в поля User и Password – имя юзера и пароль. В Profile выбирается в зависимости от необходимости шифрования подходящий профиль. В самом низу рядом с опцией Allow (разрешить) указаны допустимые к использованию протоколы аутентификации, на сейчас безопасным считается лишь MS-CHAP v2 и следует употреблять по способности лишь его. Но помните, что используемый протокол аутентификации должен поддерживаться сервером, в неприятном случае установить связь вы не сможете.

Опция Keepalive Timeout показывает время переподключения соединения в случае обрыва связи. Существует мировоззрение, что лучше делать это значение гораздо меньше, дескать скорее будет переподключаться туннель. Но это не так, во-1-х, при проблемах на сервере вы будете активно забивать канал и нагружать сервер служебным трафиком, а во-2-х, при кратковременных перебоях связи короткое время будет вызывать переподключение с обрывом всех соединений в канале, а большее значение дозволит сохранить туннель. В особенности это актуально для мобильного веба либо беспроводных каналов.

Читайте также  Установка разрешение экрана. Как установить разрешение монитора больше максимального

Опция Add Default Route создаст маршрут по умолчанию через туннель, т.е. направит туда весь исходящий трафик, указывайте ее лишь в том случае, ежели данный туннель основной метод доступа в интернет.

Никаких других особенностей и подводных камешков тут нет и ежели вы верно указали опции, то клиент должен будет без заморочек подключиться к серверу.

L2TP-клиент

Говоря про L2TP, традиционно предполагают L2TP/IPsec, поэтому как без шифрования данный протокол в корпоративной среде не употребляется. Но есть и исключения, некие провайдеры, к примеру, Билайн, употребляют незапятнанный L2TP без шифрования. В этом случае опции подключения будут смотреться так:

Обратите внимание на используемый профиль – default, так как соединение не зашифрованное, с профилем default-encryption вы не можете подключиться к серверу провайдера. Add Default Route ставим лишь ежели это основное соединение с веб. Также имеет смысл применять опцию Allow Fast Path, для разгрузки CPU, в особенности на младших моделях, но учтите, что с данной опцией соединение может работать нестабильно, в таком случае ее придется отключить.

Для работы с L2TP/IPsec опции будут незначительно другие, во-1-х, используем профиль default-encryption и включаем внедрение IPsec установкой флага Use IPsec, при этом становится активным поле IPsec Secret, куда вводим подготовительный ключ.

Опция Allow Fast Path при использовании IPsec игнорируется и в ее установке нет никакого смысла, так же не запамятовывайте про опцию Add Default Route, в большинстве корпоративных сценариев устанавливать ее не следует.

Вроде бы тоже ничего сложного в настройках L2TP/IPsec нет, но ежели вы попытаетесь подключиться к Windows Server, то у вас ничего не получится. В чем же дело? А дело в настройках IPsес, перейдем в IP – IPsec – Proposal и откроем настройку по умолчанию. Proposal либо предложение IPsec содержит перечень алгоритмов защиты канала, которые устройство дает для установления соединения. Понятно, что для удачного установления канала поддерживаемые способы защиты должны совпадать.

В предложении IPsec по умолчанию обращаем внимание на опцию PFS Group, она отвечает за применение технологии совершенной прямой секретности (Perfect forward secrecy, PFS), которая предугадывает создание неповторимых сессионных ключей по методу Диффи-Хеллмана, что делает неосуществимым расшифровку перехваченного IPsec трафика даже при наличии длительных ключей (в данном случае подготовительного ключа).

Windows Server по умолчанию не поддерживает совершенную прямую секретность, потому PFS Group необходимо выставить в состояние none, опосля что соединение удачно установится.

Обратите внимание, что в данном случае мы изменили настройку по умолчанию, но в данном случае это оправдано. Опции IPsec довольно сложны и вряд-ли человек не имеющий опыта работы с данной технологией сумеет все верно настроить с первого раза. Но это изменение следует учесть при разработке остальных соединений, использующих IPsec и приводить опции с обоих сторон к общему виду.

Хотя наиболее правильным является создание собственного предложения (Proposal) и политики (Police) для каждого соединения, но эта тема далековато выходит за рамки статьи.

SSTP-клиент

Мы не будем останавливаться на уже обрисованных нами функциях, которые общие для всех видов коммутируемых подключений, а сосредоточимся на новейших, свойственных конкретно этому типу VPN. SSTP относится к отдельной подгруппе SSL VPN, которые употребляют трафик фактически не отличимый от HTTPS, что серьезно затрудняет выявление и блокирование таковых туннелей.

На что следует направить внимание при настройке? Давайте поначалу поглядим на окно настроек:

Как лицезреем, возникла функция Port, где мы можем указать порт подключения, по умолчанию это 443, но можно применять и хоть какой другой, ежели 443 порт занят, к примеру, веб-сервером. Также SSTP может отлично работать через прокси, в этом случае для вас будет нужно указать адресок прокси-сервера и используемый им порт в опциях Proxy и Proxy Port.

Также вспоминаем, что SSTP постоянно употребляет шифрование канала, потому оно будет работать вне зависимости от избранного профиля, в данном случае default и default-encryption будут работать одинаково.

Теперь перейдем к специфическим для протокола настройкам, которые мы обвели зеленоватой рамкой. Поле Certificate употребляется для указания клиентского сертификата в том случае, ежели сервер употребляет аутентификацию по сертификатам, в этом случае его будет нужно загрузить на устройство и импортировать в разделе System – Certificates. Во всех других вариантах в поле обязано стоять none.

TLS Version показывает на допустимые к использованию версии TLS, но это определяется сервером, но следует стараться применять лишь протокол TLS 1.2, что дозволяет исключить атаки с снижением протокола.

Читайте также  Как пригласить в скайп друзей. Как добавить контакт в Скайп

Опция Verify Server Certificate не является неотклонимой, но дозволяет проверить подлинность сервера, исключая атаки типа человек в центре, для этого будет нужно импортировать на Mikrotik сертификат центра сертификации (СА) выдавшего сертификат серверу.

Опция Verify Server Address From Certificate дозволяет убедиться, что IP-адрес подключения соответствует адресу для имени, указанного в сертификате. Также не является неотклонимой, но дозволяет дополнительно убедиться, что подключаетесь вы конкретно к тому серверу.

Установка флага в поле PFS включает совершенную прямую секретность, но эта функция обязана поддерживаться со стороны сервера.

OpenVPN-клиент

Реализация OpenVPN в Mikrotik вызывает много приреканий, так как сводит на нет все мощные стороны данной технологии и делает ощутимыми слабенькие. OVPN-клиент не поддерживает сжатие данных и работу по протоколу UDP, ежели 1-ое не настолько значимо на современных каналах, то OpenVPN поверх TCP имеет чрезвычайно огромные накладные расходы и вызывает как завышенную нагрузку на оборудование, так и нехорошую утилизацию канала. Потому от использования OpenVPN на Mikrotik по способности следует отказаться.

Обычно набор для подключения OpenVPN клиента составляют сертификат СA, сертификат и закрытый ключ клиента, конфигурационный файл. Нам пригодятся лишь сертификат и ключ клиента, а ежели мы желаем инспектировать подлинность сервера, то еще и сертификат CA, но он не является неотклонимым для опции подключения.

Прежде всего загрузим сертификаты и ключи на Mikrotik, потом перейдем в System – Certificates и импортируем сертификат клиента. Он покажется в перечне сертификатов и напротив него будет буковка T, что обозначает trusted, т.е. устройство доверяет этому сертификату. Потом импортируем ключ, тут принципиально соблюдать конкретно эту последовательность, поначалу сертификат, позже ключ.

После удачного импорта ключа флаги сменятся на KT, где буковка K обозначает наличие закрытого ключа для сертификата. Потом аналогичным образом импортируем сертификат CA сервера, импорт ключа для данного сертификата не нужен. Закрытый ключ CA является самой большой тайной и должен хранится с соблюдением всех мер предосторожности и не при каких обстоятельствах не должен покидать узел СA (центра сертификации).

Теперь разглядим ближе окно опций подключения, адресок подключения и порт не должны вызвать затруднений, а вот другие функции нуждаются в пояснении, важные мы выделили зеленоватой рамкой.

Но поначалу коснемся опций User и Profile. 1-ая употребляется лишь в случае аутентификации на сервере по имени и паролю, большая часть OpenVPN серверов таковой тип аутентификации не употребляют и в этом поле вы сможете написать все что угодно, просто оно обязано быть заполнено. Профиль также не имеет значения, так как OpenVPN постоянно шифрует канал, а опцию сжатия игнорирует.

Mode задает режим работы канала, в определениях OpenVPN ip – это tun (L3), а ethernet – это tap (L2), следует держать в голове, что режим работы определяется сервером. В поле Certificate укажите импортированный сертификат клиента. Функции Auth и Cipher указывают на используемые сервером криптографические методы для аутентификации и шифрования, ежели вы укажете хорошие от указанных в конфигурации сервера – то соединение установить не получится. Ежели метод аутентификации очевидно не указан в конфигурации сервера, то по умолчанию употребляется SHA1.

При настройке OpenVPN клиента на Mikrotik следует держать в голове, что сервер должен поддерживать соединения по протоколу TCP, без сжатия и TLS-аутентификации, в неприятном случае подключиться к серверу не удастся.

Опция Verify Server Certificate дозволяет проверить подлинность сертификата сервера, что защищает от атак типа человек в центре, но просит импорта сертификата CA сервера.

Маршрутизация

Если VPN соединение употребляется для доступа к корпоративной сети либо предназначено для связи сетей, то для вас будет нужно указать маршруты для правильной пересылки пакетов. Так ежели мы желаем получить доступ к сети за VPN-севером, то нам будет нужно сделать маршрут к данной сети, указав в качестве шлюза интерфейс нашего VPN-клиента, к примеру так:

В данном примере мы отправляем все пакеты к сети 192.168.200.0/24 через L2TP-подключение l2tp-out1. Ежели вы осознаете базы маршрутизации, то указание правильных маршрутов для вас не составит труда.

Отдельного внимания заслуживает функция Pref. Source, которая не является неотклонимой, но ее следует указывать, ежели роутер обслуживает несколько сетей, в ней указывается адресок, с которого роутер будет посылать пакеты по указанному маршруту. Без ее указания доступ роутера к ресурсам удаленных сетей может оказаться неосуществимым (как и удаленных сетей к нему), на работу клиентов в сетях это не влияет. В качестве значения следует указать адресок, принадлежащий той сети, к которой имеется маршрут с противоположной стороны (т.е. сети за сервером).

Читайте также  Прошивка dexp ixion es 550. Прошивка для телефона DEXP Ixion ES550 Soul 3 Pro

Освоить MikroTik вы сможете с помощью онлайн-курса «Настройка оборудования MikroTik». В курсе изучаются все темы из официальной программы MTCNA. Создатель – официальный тренер MikroTik. Материал подступает и тем, кто уже издавна работает с оборудованием MikroTik, и тем, кто еще не держал его в руках. В состав входят 162 видеоурока, 45 лабораторных работ, вопросцы для самопроверки и конспект.




Разблокируем веб с помощью Mikrotik и VPN: подробный туториал

В этом пошаговом руководстве я расскажу, как настроить Mikrotik, чтоб запрещённые веб-сайты автоматом раскрывались через этот VPN и вы могли избежать танцев с бубнами: один раз настроил и все работает.

В качестве VPN я избрал SoftEther: он так же прост в настройке как и RRASи таковой же стремительный. На стороне VPN сервера включил Secure NAT, остальных опций не проводилось.

В качестве кандидатуры разглядывал RRAS, но Mikrotik не умеет с ним работать.  Соединение устанавливается, VPN работает, но поддерживать соединение без неизменных реконнектов и ошибок в логе Mikrotik не умеет.

Настройка производилась на примере RB3011UiAS-RM на прошивке версии 6.46.11.
Теперь по порядку, что и зачем.

1. Устанавливаем VPN соединение

В качестве VPN решения был избран, естественно, SoftEther, L2TP с подготовительным ключом. Такового уровня сохранности довольно кому угодно, поэтому что ключ знает лишь роутер и его обладатель.

Переходим в раздел interfaces. Поначалу добавляем новейший интерфейс, а позже вводим ip, логин, пароль и общий ключ в интерфейс. Нажимаем ок.

То же самое командой:

SoftEther заработает без конфигурации ipsec proposals и ipsec profiles, их настройку не рассматриваем, но скриншоты собственных профилей, на всякий вариант, создатель оставил.

Для RRAS в IPsec Proposals довольно поменять PFS Group на none.

Теперь необходимо встать за NAT этого VPN сервера. Для этого нам необходимо перейти в IP > Firewall > NAT.

Тут включаем masquerade для определенного, либо всех PPP интерфейсов. Роутер создателя подключен сходу к трём VPN’ам, потому сделал так:

То же самое командой:

2. Добавляем правила в Mangle

Первым делом охото, естественно, защитить все самое ценное и беззащитное, а конкретно DNS и HTTP трафик. Начнем с HTTP.

Переходим в IP → Firewall → Mangle и создаем новое правило.

В правиле, Chain избираем Prerouting.

Если перед роутером стоит Smart SFP либо еще один роутер, и вы желаете к нему подключаться по интернет интерфейсу, в поле Dst. Address необходимо ввести его IP адресок либо сабсеть и поставить символ отрицания, чтоб не использовать Mangle к адресу либо к данной для нас сабсети. У создателя стоит SFP GPON ONU в режиме бриджа, таковым образом создатель сохранил возможность подключения к его вебморде.

По умолчанию Mangle будет использовать свое правило ко всем NAT State’ам, это сделает проброс порта по вашему белоснежному IP неосуществимым, потому в Connection NAT State ставим галочку на dstnat и символ отрицания. Это дозволит нам отправлять по сети исходящий трафик через VPN, но все еще прокидывать порты через собственный белоснежный IP.

Далее на вкладке Action избираем mark routing, обзываем New Routing Mark так, чтоб было в предстоящем нам понятно и едем далее.

То же самое командой:

Теперь перебегаем к защите DNS. В данном случае необходимо сделать два правила. Одно для роутера, другое для устройств присоединенных к роутеру.

Если вы пользуетесь интегрированным в роутер DNS, что делает и создатель, его необходимо тоже защитить. Потому для первого правила, как и выше мы избираем chain prerouting, для второго же необходимо выбрать output.

Output это цепь которые употребляет сам роутер для запросов с помощью собственного функционала. Здесь все по аналогии с HTTP, протокол UDP, порт 53.

То же самое командами:

3. Строим маршрут через VPN

Переходим в IP → Routes и создаем новейшие маршруты.

Маршрут для маршрутизации HTTP по VPN. Указываем заглавие наших VPN интерфейсов и избираем Routing Mark.

На этом шаге вы уже ощутили, как ваш оператор закончил встраивать рекламу в ваш HTTP трафик.

То же самое командой:

Ровно так же будут смотреться правила для защиты DNS, просто избираем подходящую метку:

Тут вы ощутили, как ваши DNS запросы закончили прослушивать. То же самое командами:

Ну под конец, разблокируем Rutracker. Вся сабсеть принадлежит ему, потому указана подсеть.

Вот так было просто вернуть для себя веб. Команда:

Ровно сиим же методом, что и с рутрекером вы сможете прокладывать маршруты корпоративных ресурсов и остальных заблокированных сайтов.

Автор надеется, что вы оцените удобство захода на рутрекер и корпоративный портал в одно и тоже время не снимая свитер.

Оставьте комментарий