среда, 29 января 2014 г.

mikrotik: поднимаем VPN

Умеет: PPTP, L2TP, PPP, SSTP, OVPN, PPPOE. Все как сервером, так и клиентом.
Не так давно микротик не умел openvpn, сейчас у меня поддержка есть.
Windows 7 поддерживает 3 протокола из перечисленных: PPTP, SSTP и почему-то L2TP IPsec

http://wiki.mikrotik.com/wiki/Category:VPN
http://www.mikrotik.com/solutions.php
http://wiki.mikrotik.com/wiki/Tunnels
http://wiki.mikrotik.com/wiki/PPTPServer

PPTP
Наиболее простой вариант для windows-клиента это PPTP
http://www.mikrotik.com/testdocs/ros/2.9/interface/pptp.php#5.29.6
видео, быстрая настройка за 5 минут (видео похоже ускоренное)
http://www.youtube.com/watch?v=Q2OR8hj2ivI

Но есть ряд особенностей. В частности, без указания локального и удаленного адресов будет ошибка соединения.
Если прописывать айпи  из сети сервера - с большой вероятностью ничего не заработает вообще, диапазоны не должны пересекаться. А не из сети сервера, то инет может и поднимется, а вот офисные ресурсы будут недоступны. Прописывание в винде офисной сети (route add) - поможет подключиться только к тем айпи, у которых шлюз - этот микротик, остальные даже пинговаться не будут, потому что подключение будет с этим "левым" айпи, надо тогда как-то сообщить всем системам ещё об одной сети, что сложно, а иногда невозможно. Частично помогает proxy-arp, также может L3 роутинг помочь.
Пояснение. Если мы прописали в remote address айпи 10.10.10.2, то залогинившись на сервер с *nix, мы увидим что подключение было именно с этого айпи. Поэтому дефолтный роутер должен быть микротиком, что выполняется не всегда.

SSTP
Ещё из интересных протоколов -- SSTP
Secure Socket Tunneling Protocol (SSTP) transports a PPP tunnel over a SSL 3.0 channel. The use of SSL over TCP port 443 allows SSTP to pass through virtually all firewalls and proxy servers.

Интересен тем, что не отличим от нормального SSL трафика, в отличии от прочих протоколов, где сразу понятно что это бегает VPN.
Вот с поднятием таких туннелей сложнее, в том числе с подключением.

Корректно SSTP работает только на Windows Vista, Windows 7 и RouterOS.

http://wiki.mikrotik.com/wiki/Manual:Interface/SSTP

Radius
Пользователи могут быть как локальными, так и получаться из Radius, для чего надо настроить radius-подключение и поставить галку в PPP-Secrets-PPP Auth.... - Use Radius
сначала проверяется локальная база, потом радиус.

Про L2, L3, bridging и прочее тут опустим.

Линки
http://blog.a-zazell.ru/mikrotik-windows-sstp-tunnel/
http://rfedorov.blogspot.ru/2013/05/pptp-mikrotik-proxy-arp-gre1723.html

Комментариев нет:

Отправить комментарий