Настройка PPP-соединений в Mikrotik
Туннелей и прочих соединений Mikrotik умеет много. VPN/EOIP/PPTP/OpenVPN/PPPOE и еще много других. Причем, выступать как сервером, так и клиентом.
Основной задачей, возложенной на эти девайсы, является прокладывание L2-тоннелей через враждебные среды сторонних операторов в виде L2/L3 каналов, интернетов и прочего. Я обычно использую PPTP или OpenVPN, если девайс за натом, либо EOIP, если девайсы имеют белые айпишники или достижимы по L2 каналам.
VPN
Плюсы – простой, как пробка, абсолютно прозрачен и поддерживается практически всеми устройствами, вплоть до андроида. Разновидности – L2TP/PPtP/OpenVPN. В последнем случае клиенту и серверу потребуются сертификаты, (как их сделать – спросите гугл) гораздо меньшая совместимость, но есть огромнейший плюс – можно создавать L2-тоннели прямо средствами OVPN, для транспорта используется TCP (т.е. пролезет везде и всюду).
Например, вот так можно создать простой PPTP-сервер:
[admin@MikroTik] interface pptp-server server> set enabled=yes
[admin@MikroTik] interface pptp-server server> print
enabled: yes
max-mtu: 1460
max-mru: 1460
mrru: disabled
authentication: mschap2,mschap1
keepalive-timeout: 30
default-profile: default
[admin@MikroTik] > interface pptp-server server add add name=pptpserver user=pptpuser
[admin@MikroTik] > ip pool add name="pptp-pool" ranges=172.19.75.80/28
[admin@MikroTik] > ppp profile add name="pptp-in" local-address=172.19.75.81 remote-address=pptp-pool use-compression=no use-vj-compression=no use-encryption=default only-one=default change-tcp-mss=yes
[admin@MikroTik] > ppp secret add name="pptpuser" service=pptp caller-id="" password="pptppass" profile=pptp-in
[admin@MikroTik] >
Мы создали сам инстанс сервера (может быть только один для каждого типа сервера: L2TP/SSTP/PPTP, интерфейс, пул адресов, котоыре будут выдаваться клиентам, а так же определили пользователя, который будет подключаться. Естественно, можно использовать Radius (но об этом как-нибудь в другой раз)
Теперь клиент:
[admin@MikroTik] > in pptp-client add name="pptp-out1" connect-to=11.22.33.44 user="pptpuser" password="pptppass" allow=mschap1,mschap2
Как видно, все просто. Теперь, немного веселее – поднимем сервер и клиент OpenVPN.
Для начала, создаем пул адресов, пользователей и профиль сервера аналогично pptp. Вопросы, разве что может вызвать пункт bridge, но его можно не указывать – он пригодится для построения L2-тоннелей с помощью OpenVPN. Теперь, собственно, сам инстанс сервера:
[admin@MikroTik] > interface ovpn-server server print
enabled: yes
port: 1194
mode: ethernet
netmask: 29
max-mtu: 1500
keepalive-timeout: disabled
default-profile: default
certificate: h-p-ovpn-cert
require-client-certificate: no
auth: sha1,md5
cipher: blowfish128,aes128,aes192,aes256
и интерфейс:
[admin@MikroTik] >in ovpn-server add name=ovpnserver user=ovpnuser
Итак, мы создали OpenVPN L2-сервер, висящий на порту 1194 (не забываем открыть в фаерволе), маска сети /29, сертификат есть (без подписанного сертификата сервер, скорее всего, не заработает), но у клиентов просить не будем (а может и будем), тип аутентификации и шифрования.
У клиентов будет нечто вроде вот этого:
[admin@MikroTik] > interface ovpn-client add name="ovpn-out1" connect-to=79.142.85.245 port=1194 mode=ethernet user="pppuser" password="ppppass" profile=default certificate=none auth=sha1 cipher=blowfish128
Т.к. у нас L2, с обоих сторон добавляем в бридж нужные нам интерфейсы:
[admin@MikroTik] > interface bridge add name=bridge1
[admin@MikroTik] > interface bridge port add interface=ovpnserver bridge=bridge1
[admin@MikroTik] > interface bridge port add interface=ether2 bridge=bridge1
на стороне сервера и
[admin@MikroTik] > interface bridge add name=bridge1
[admin@MikroTik] > interface bridge port add interface=ovpn-out1 bridge=bridge1
[admin@MikroTik] > interface bridge port add interface=ether2 bridge=bridge1
на стороне клиента
Про коммутируемые подключения на этом все. Про Ethernet over IP (одна из главных фишек Микротика) будет в следующей серии
Если интернет не появился на компьютерах, перезагрузите роутер MikroTik и сетевые интерфейсы компьютеров, чтобы они получили новые сетевые настройки по DHCP.
ссылки во многих статьях ведут на старый домен 🙁