Туннелей и прочих соединений Mikrotik умеет много. VPN/EOIP/PPTP/OpenVPN/PPPOE и еще много других. Причем, выступать как сервером, так и клиентом.
Основной задачей, возложенной на эти девайсы, является прокладывание L2-тоннелей через враждебные среды сторонних операторов в виде L2/L3 каналов, интернетов и прочего. Я обычно использую PPTP или OpenVPN, если девайс за натом, либо EOIP, если девайсы имеют белые айпишники или достижимы по L2 каналам.
VPN
Плюсы – простой, как пробка, абсолютно прозрачен и поддерживается практически всеми устройствами, вплоть до андроида. Разновидности – L2TP/PPtP/OpenVPN. В последнем случае клиенту и серверу потребуются сертификаты, (как их сделать – спросите гугл) гораздо меньшая совместимость, но есть огромнейший плюс – можно создавать L2-тоннели прямо средствами OVPN, для транспорта используется TCP (т.е. пролезет везде и всюду).
Например, вот так можно создать простой PPTP-сервер:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 | [admin@MikroTik] interface pptp-server server> set enabled=yes [admin@MikroTik] interface pptp-server server> print enabled: yes max-mtu: 1460 max-mru: 1460 mrru: disabled authentication: mschap2,mschap1 keepalive-timeout: 30 default-profile: default [admin@MikroTik] > interface pptp-server server add add name=pptpserver user=pptpuser [admin@MikroTik] > ip pool add name="pptp-pool" ranges=172.19.75.80/28 [admin@MikroTik] > ppp profile add name="pptp-in" local-address=172.19.75.81 remote-address=pptp-pool use-compression=no use-vj-compression=no use-encryption=default only-one=default change-tcp-mss=yes [admin@MikroTik] > ppp secret add name="pptpuser" service=pptp caller-id="" password="pptppass" profile=pptp-in [admin@MikroTik] > |
Мы создали сам инстанс сервера (может быть только один для каждого типа сервера: L2TP/SSTP/PPTP, интерфейс, пул адресов, котоыре будут выдаваться клиентам, а так же определили пользователя, который будет подключаться. Естественно, можно использовать Radius (но об этом как-нибудь в другой раз)
Теперь клиент:
1 | [admin@MikroTik] > in pptp-client add name="pptp-out1" connect-to=11.22.33.44 user="pptpuser" password="pptppass" allow=mschap1,mschap2 |
Как видно, все просто. Теперь, немного веселее – поднимем сервер и клиент OpenVPN.
Для начала, создаем пул адресов, пользователей и профиль сервера аналогично pptp. Вопросы, разве что может вызвать пункт bridge, но его можно не указывать – он пригодится для построения L2-тоннелей с помощью OpenVPN. Теперь, собственно, сам инстанс сервера:
1 2 3 4 5 6 7 8 9 10 11 12 | [admin@MikroTik] > interface ovpn-server server print enabled: yes port: 1194 mode: ethernet netmask: 29 max-mtu: 1500 keepalive-timeout: disabled default-profile: default certificate: h-p-ovpn-cert require-client-certificate: no auth: sha1,md5 cipher: blowfish128,aes128,aes192,aes256 |
и интерфейс:
1 | [admin@MikroTik] >in ovpn-server add name=ovpnserver user=ovpnuser |
Итак, мы создали OpenVPN L2-сервер, висящий на порту 1194 (не забываем открыть в фаерволе), маска сети /29, сертификат есть (без подписанного сертификата сервер, скорее всего, не заработает), но у клиентов просить не будем (а может и будем), тип аутентификации и шифрования.
У клиентов будет нечто вроде вот этого:
1 | [admin@MikroTik] > interface ovpn-client add name="ovpn-out1" connect-to=79.142.85.245 port=1194 mode=ethernet user="pppuser" password="ppppass" profile=default certificate=none auth=sha1 cipher=blowfish128 |
Т.к. у нас L2, с обоих сторон добавляем в бридж нужные нам интерфейсы:
1 2 3 | [admin@MikroTik] > interface bridge add name=bridge1 [admin@MikroTik] > interface bridge port add interface=ovpnserver bridge=bridge1 [admin@MikroTik] > interface bridge port add interface=ether2 bridge=bridge1 |
на стороне сервера и
1 2 3 | [admin@MikroTik] > interface bridge add name=bridge1 [admin@MikroTik] > interface bridge port add interface=ovpn-out1 bridge=bridge1 [admin@MikroTik] > interface bridge port add interface=ether2 bridge=bridge1 |
на стороне клиента
Про коммутируемые подключения на этом все. Про Ethernet over IP (одна из главных фишек Микротика) будет в следующей серии
Если интернет не появился на компьютерах, перезагрузите роутер MikroTik и сетевые интерфейсы компьютеров, чтобы они получили новые сетевые настройки по DHCP.
ссылки во многих статьях ведут на старый домен :(