На этой странице рассмотрено создание VPN (Virtual Private Network «виртуальная частная сеть») для удаленного доступа пользователя на ОС Windows 10 к сети организации с использованием протокола PPTP через маршрутизатор MikroTik.
Освоить MikroTik Вы можете с помощью онлайн-куса «Настройка оборудования MikroTik». Курс содержит все темы, которые изучаются на официальном курсе MTCNA. Автор курса – официальный тренер MikroTik. Подходит и тем, кто уже давно работает с микротиками, и тем, кто еще их не держал в руках. В курс входит 162 видеоурока, 45 лабораторных работ, вопросы для самопроверки и конспект.
PPTP (Point-to-Point Tunneling Protocol) туннельный протокол типа точка-точка, позволяющий компьютеру устанавливать защищённое соединение с сервером за счёт создания специального туннеля в стандартной, незащищённой сети wiki. PPTP обладает уязвимостью в протоколе аутентификации MS-CHAP v.2. Уязвимость была закрыта за счет протокола расширенной проверки подлинности EAP (PEAP). Разработчик протокола корпорация Microsoft рекомендует вместо PPTP использовать L2TP или SSTP. Так как PPTP встроен в каждый Windows и легко настраивается, его еще используют. Описание PPTP представлено в исторических целях и для понимания упрощенной настройки VPN. Взломостойкость зависит от сложности и длинны пароля.
Схема подключения удаленного пользователя к сети организации на рисунке ниже.
![](http://www.pc360.ru/wp-content/uploads/mikrotik-program/3570/image1.png)
VPN создан с помощью роутера MikroTik RB750Gr3 с прошивкой 6.47.
Первоначальная настройка роутера выполнена по этой инструкции.
Быстрая настройка VPN PPTP представлена тут .
Порядок действий.
7.Настройка VPN соединения пользователя (клиента) в Windows 10.
8.Подключение к общей папке через VPN.
Входим в меню роутера из локальной сети через WinBox (ССЫЛКА).
1.Запускаем WinBox, нажимаем на вкладку Neighbors и видим доступные в сети роутеры.
2.Кликаем на MAC или IP-адрес нужного роутера.
3.Адрес отобразится в строке Connect To:
4.Вводим логин.
5.Вводим пароль.
6.Нажимаем кнопку «Connect».
![](http://www.pc360.ru/wp-content/uploads/mikrotik-program/3570/image2.png)
1.В боковом меню выбираем PPP.
2.В открывшемся окне PPP переходим на вкладку Interface.
3.В верхней панели нажимаем кнопку PPTP Server.
4.В открывшемся окне ставим галочку напротив Enable.
![](http://www.pc360.ru/wp-content/uploads/mikrotik-program/3570/image3.png)
5.Нажимаем кнопку «ОК».
Через командную строку терминала:
1
|
/interface pptp—server server set enabled=yes
|
3.Создание пула IP-адресов для VPN пользователей.
1.В боковом меню выбираем IP.
2.В раскрывшемся меню выбираем Pool.
3.В открывшемся окне IP Pool переходим на вкладку Pools.
4.Нажимаем синий крест (плюс).
В открывшемся окне NEW IP Pool вводим параметры:
5.Name: VPN-PPTP (любое понятное имя латиницей)
6.Addresses: 192.168.100.10-192.168.100.254 (желаемый диапазон IP для VPN)
7.Нажимаем кнопку «ОК».
![](http://www.pc360.ru/wp-content/uploads/mikrotik-program/3570/image4.png)
Через командную строку терминала:
1
|
/ip pool add name= VPN—PPTP ranges=192.168.100.10—192.168.100.254
|
Выполняем действия в меню PPP
1.Переходим на вкладку Profiles.
2.Нажимаем синий крест (плюс).
В окне создания нового профиля вводим:
3.Name: PC360VPN (любое понятное имя латиницей).
4.Local Adress: 192.168.100.1 (адрес роутера в VPN)
5.Remote Address: VPN-PPTP(выбираем созданный ранее пул или указываем IP-адрес который присвоится для удаленного клиента)
6.Нажимаем кнопку «ОК».
![](http://www.pc360.ru/wp-content/uploads/mikrotik-program/3570/image5.png)
Через командную строку терминала:
1
|
/ppp profile add name=PC360VPN local—address=192.168.100.1 remote—address=VPN—PPTP
|
Если к пользователю VPN понадобится постоянное и частое удаленное подключение, то необходимо будет знать его IP-адрес. При раздаче пула IP адрес может оказаться любой из заданного диапазона. Поэтому альтернативный вариант — не использовать пул IP-адресов, а привязать пользователя к конкретному IP. Для этого при создании профиля нужно указывать IP-адрес в поле Remote Address. Затем привязывать профиль к пользователю. Это можно сделать так же при создании пользователя (см.далее).
1.В меню PPP переходим на вкладку Secrets.
2.Нажимаем синий крест (плюс).
В открывшемся окне вводим:
3.Name: WunderbareVPN1 (имя пользователя )
4.Password: 12345Password (сложный пароль из латинских букв и цифр разного регистра)
5.Service: pptp
6.Profile: PC360VPN (созданный ранее профиль, выбираем из выпадающего списка)
7.Нажимаем кнопку «ОК».
![](http://www.pc360.ru/wp-content/uploads/mikrotik-program/3570/image6.png)
Новый пользователь появится в списке. Пользователя vpn (дефолтного) лучше отключить или удалить.
Через командную строку терминала:
1
|
/ppp secret add name=WunderbareVPN1 password=12345Password profile=PC360VPN service=pptp
|
Удаление пользователя vpn.
1
|
/ppp secret remove vpn
|
В поле Remote Adress можно указать IP-адрес, который будет всегда присвоен к этому пользователю.
Создаем необходимое количество пользователей аналогичными действиями.
Когда VPN начнет работать, в логе можно отследить подключение созданных пользователей к сети.
![](http://www.pc360.ru/wp-content/uploads/mikrotik-program/3570/image7.png)
Правила необходимы при настроенном firewall, в случае если в низу всего списка размещено правило, запрещающее все прочие подключения по входу в роутер.
PPTP требует одновременного установления двух сетевых сессий – GRE(установка сессии) и соединение на TCP-порту 1723 (для инициации и управления GRE-соединением). wiki
6.1Правило для открытия порта 1723.
1.В боковом меню выбираем пункт IP.
2.В выпадающем меню выбираем Firewall.
3.В открывшемся окне переходим на вкладку Filter Rules.
4.Нажимаем синий крест (плюс).
В открывшемся окне вводим настройки:
5.Chain: input (вход)
6.Protocol: tcp (протокол)
7.Dst. Port: 1723 (порт назначения)
8.In Interface: ether1 (внешний интерфейс)
9.Переходим на вкладку Action.
![](http://www.pc360.ru/wp-content/uploads/mikrotik-program/3570/image8.png)
На вкладке Action вводим:
10.Action: accept
![](http://www.pc360.ru/wp-content/uploads/mikrotik-program/3570/image9.png)
11.Нажимаем кнопку ОК для сохранения правила.
Через командную строку терминала:
1
|
/ip firewall filter add chain=input dst—port=1723 in—interface=ether1 protocol=tcp action=accept comment=«VPN RULE1 accept PORT 1723»
|
6.2Правило для разрешения GRE.
1.В боковом меню выбираем пункт IP.
2.В выпадающем меню выбираем Firewall.
3.В открывшемся окне переходим на вкладку Filter Rules.
4.Нажимаем синий крест (плюс).
В открывшемся окне вводим настройки:
5.Chain: input (вход)
6.Protocol: gre (протокол)
7.In Interface: ether1 (внешний интерфейс)
8.Переходим на вкладку Action.
![](http://www.pc360.ru/wp-content/uploads/mikrotik-program/3570/image10.png)
На вкладке Action вводим:
9.Action: accept
![](http://www.pc360.ru/wp-content/uploads/mikrotik-program/3570/image11.png)
10.Нажимаем кнопку ОК.
Через командную строку терминала:
1
|
/ip firewall filter add chain=input in—interface=ether1 protocol=gre action=accept comment=«VPN RULE2 accept GRE»
|
В списке правил появятся два новых. Расположить их нужно в самом верху списка.
![](http://www.pc360.ru/wp-content/uploads/mikrotik-program/3570/image12.png)
6.3Правило NAT.
![](http://www.pc360.ru/wp-content/uploads/mikrotik-program/3570/image13.png)
NAT masquerade для VPN трафика. Правило создается на вкладке NAT аналогично предыдущим правилам.
![](http://www.pc360.ru/wp-content/uploads/mikrotik-program/3570/image14.png)
Через командную строку терминала:
1
|
add chain=srcnat out—interface=ether1 src—address=192.168.100.0/24 action=masquerade comment=«VPN RULE NAT masquerade vpn traffic»
|
7.Настройка VPN соединения клиента в Windows 10.
Удаленный компьютер подключен в Интернет. В этом ПК переходим в управление сетями.
Панель управления >> Сеть и Интернет >> Центр управления сетями и общим доступом.
Создаем новое подключение.
![](http://www.pc360.ru/wp-content/uploads/mikrotik-program/3570/image15.png)
![](http://www.pc360.ru/wp-content/uploads/mikrotik-program/3570/image16.png)
Среди вариантов подключения выбираем – «Подключение к рабочему месту». Далее.
![](http://www.pc360.ru/wp-content/uploads/mikrotik-program/3570/image17.png)
Выбираем – «Использовать мое подключение к Интернету (VPN)».
В следующем пункте указываем внешний статический IP-адрес роутера или внешний идентификатор MikroTik(1234567891443.sn.mynetname.net у каждого роутера свой).
В поле имя пишем любое понятное имя латинскими буквами. Отмечаем галочкой «Запомнить учетные данные».
![](http://www.pc360.ru/wp-content/uploads/mikrotik-program/3570/image18.png)
Нажимаем кнопку «Создать».
![](http://www.pc360.ru/wp-content/uploads/mikrotik-program/3570/image19.png)
Отредактируем свойства созданного VPN подключения в сетевых соединениях.
В свойствах переходим на вкладку безопасность. Указываем следующие параметры.
1.Тип VPN: Туннельный протокол точка-точка (PPTP).
2.Шифрование данных: обязательное (отключится если нет шифрования)
3.Разрешить следующие протоколы – отмечаем точкой.
4.Протокол Microsoft CHAP версия 2 (MS-CHAPv2).
5.Кнопка «ОК» для сохранения настроек.
![](http://www.pc360.ru/wp-content/uploads/mikrotik-program/3570/image20.png)
![](http://www.pc360.ru/wp-content/uploads/mikrotik-program/3570/image21.png)
В нижней правой части экрана нажимаем на значок сети, выбираем из раскрывшегося списка нужное соединение и нажимаем кнопку «Подключится».
![](http://www.pc360.ru/wp-content/uploads/mikrotik-program/3570/image22.png)
В окне авторизации вводим учетные данные пользователя VPN.
После правильного ввода учетных данных произойдет подключение.
![](http://www.pc360.ru/wp-content/uploads/mikrotik-program/3570/image23.png)
В случае если нужно изменить учетные данные, сделать это можно в меню параметров Windows 10 «Сеть и Интернет».
![](http://www.pc360.ru/wp-content/uploads/mikrotik-program/3570/image24.png)
Выбираем VPN >> созданное соединение >> Дополнительные параметры.
![](http://www.pc360.ru/wp-content/uploads/mikrotik-program/3570/image25.png)
Изменяем и сохраняем параметры.
8.Подключение к общей папке через VPN.
![](http://www.pc360.ru/wp-content/uploads/mikrotik-program/3570/image26.png)
Пользователю VPN1 нужно получить доступ к общей папке у пользователя VPN2.
![](http://www.pc360.ru/wp-content/uploads/mikrotik-program/3570/image27.png)
Общая папка создана, доступ к ней открыт для всех.
На компьютерах обоих пользователей выполнены все предыдущие настройки, пользователи подключены к VPN.
![](http://www.pc360.ru/wp-content/uploads/mikrotik-program/3570/image28.png)
В настройках PPP роутера переходим на вкладку Active Connections и находим нужного нам пользователя. Переписываем его IP-адрес.
Можно задать постоянный IP-адрес при настройке пользователя в графе Remote Address.
Проверяем в командной строке с помощью команды ping связи с компьютером нужного пользователя.
![](http://www.pc360.ru/wp-content/uploads/mikrotik-program/3570/image29.png)
Для доступа к общей папке открываем Мой Компьютер и в адресной строке вводим IP-адрес компьютера, в котором находится общая папка.
1
|
\\192.168.100.98
|
Нажимаем кнопку «Enter».
![](http://www.pc360.ru/wp-content/uploads/mikrotik-program/3570/image30.png)
В открывшейся форме для авторизации указываем учетные данные пользователя Windows или администратора.
Для гарантированного подключения нужно вводить имя компьютера (домена) и через слэш имя пользователя, например MYPC\admin.
После правильного ввода логина и пароля откроется все, что в общем доступе у пользователя VPN2.
![](http://www.pc360.ru/wp-content/uploads/mikrotik-program/3570/image31.png)
![](http://www.pc360.ru/wp-content/uploads/mikrotik-program/3570/image32.png)
Первоначально удаленный доступ нужно активировать в настройках системы пользователя VPN2.
![](http://www.pc360.ru/wp-content/uploads/mikrotik-program/3570/image33.png)
Запускаем RDP, вводим IP-адрес пользователя VPN.
![](http://www.pc360.ru/wp-content/uploads/mikrotik-program/3570/image34.png)
При авторизации вводить нужно данные учетной записи ПК (домен/имя пользователя или уч.запись администратора).
![](http://www.pc360.ru/wp-content/uploads/mikrotik-program/3570/image35.png)
При появлении сообщения о сертификате, нажимаем ДА. Галочкой можно отметить пункт о том, чтоб этот вопрос больше не задавался.
Наконец, видим рабочий стол пользователя VPN.
![](http://www.pc360.ru/wp-content/uploads/mikrotik-program/3570/image36.png)
Sorry, the comment form is closed at this time.