Skip to content

Настройка PPP-соединений в Mikrotik

Туннелей и прочих соединений Mikrotik умеет много. VPN/EOIP/PPTP/OpenVPN/PPPOE и еще много других. Причем, выступать как сервером, так и клиентом.

Основной задачей, возложенной на эти девайсы, является прокладывание L2-тоннелей через враждебные среды сторонних операторов в виде L2/L3 каналов, интернетов и прочего. Я обычно использую PPTP или OpenVPN, если девайс за натом, либо EOIP, если девайсы имеют белые айпишники или достижимы по L2 каналам.

VPN
Плюсы — простой, как пробка, абсолютно прозрачен и поддерживается практически всеми устройствами, вплоть до андроида. Разновидности — L2TP/PPtP/OpenVPN. В последнем случае клиенту и серверу потребуются сертификаты, (как их сделать — спросите гугл) гораздо меньшая совместимость, но есть огромнейший плюс — можно создавать L2-тоннели прямо средствами OVPN, для транспорта используется TCP (т.е. пролезет везде и всюду).
Например, вот так можно создать простой PPTP-сервер:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
[admin@MikroTik] interface pptp-server server> set enabled=yes
[admin@MikroTik] interface pptp-server server> print
            enabled: yes
            max-mtu: 1460
            max-mru: 1460
               mrru: disabled
     authentication: mschap2,mschap1
  keepalive-timeout: 30
    default-profile: default
[admin@MikroTik] > interface pptp-server server add  add name=pptpserver user=pptpuser
[admin@MikroTik] > ip pool add name="pptp-pool" ranges=172.19.75.80/28
[admin@MikroTik] > ppp profile add name="pptp-in" local-address=172.19.75.81 remote-address=pptp-pool use-compression=no use-vj-compression=no use-encryption=default only-one=default change-tcp-mss=yes
[admin@MikroTik] > ppp secret add name="pptpuser" service=pptp caller-id="" password="pptppass" profile=pptp-in
[admin@MikroTik] >

Мы создали сам инстанс сервера (может быть только один для каждого типа сервера: L2TP/SSTP/PPTP, интерфейс, пул адресов, котоыре будут выдаваться клиентам, а так же определили пользователя, который будет подключаться. Естественно, можно использовать Radius (но об этом как-нибудь в другой раз)

Теперь клиент:

1
[admin@MikroTik] > in pptp-client add name="pptp-out1" connect-to=11.22.33.44 user="pptpuser" password="pptppass" allow=mschap1,mschap2

Как видно, все просто. Теперь, немного веселее — поднимем сервер и клиент OpenVPN.
Для начала, создаем пул адресов, пользователей и профиль сервера аналогично pptp. Вопросы, разве что может вызвать пункт bridge, но его можно не указывать — он пригодится для построения L2-тоннелей с помощью OpenVPN. Теперь, собственно, сам инстанс сервера:

1
2
3
4
5
6
7
8
9
10
11
12
[admin@MikroTik] > interface ovpn-server server print  
                     enabled: yes
                        port: 1194
                        mode: ethernet
                     netmask: 29
                     max-mtu: 1500
           keepalive-timeout: disabled
             default-profile: default
                 certificate: h-p-ovpn-cert
  require-client-certificate: no
                        auth: sha1,md5
                      cipher: blowfish128,aes128,aes192,aes256

и интерфейс:

1
[admin@MikroTik] >in ovpn-server add name=ovpnserver user=ovpnuser

Итак, мы создали OpenVPN L2-сервер, висящий на порту 1194 (не забываем открыть в фаерволе), маска сети /29, сертификат есть (без подписанного сертификата сервер, скорее всего, не заработает), но у клиентов просить не будем (а может и будем), тип аутентификации и шифрования.

У клиентов будет нечто вроде вот этого:

1
[admin@MikroTik] > interface ovpn-client add name="ovpn-out1" connect-to=79.142.85.245 port=1194 mode=ethernet user="pppuser" password="ppppass" profile=default certificate=none auth=sha1 cipher=blowfish128

Т.к. у нас L2, с обоих сторон добавляем в бридж нужные нам интерфейсы:

1
2
3
[admin@MikroTik] > interface bridge add name=bridge1
[admin@MikroTik] > interface bridge port add interface=ovpnserver bridge=bridge1
[admin@MikroTik] > interface bridge port add interface=ether2 bridge=bridge1

на стороне сервера и

1
2
3
[admin@MikroTik] > interface bridge add name=bridge1
[admin@MikroTik] > interface bridge port add interface=ovpn-out1 bridge=bridge1
[admin@MikroTik] > interface bridge port add interface=ether2 bridge=bridge1

на стороне клиента

Про коммутируемые подключения на этом все. Про Ethernet over IP (одна из главных фишек Микротика) будет в следующей серии

2 комментария

  1. Если интернет не появился на компьютерах, перезагрузите роутер MikroTik и сетевые интерфейсы компьютеров, чтобы они получили новые сетевые настройки по DHCP.

  2. Vitalit Vitalit

    ссылки во многих статьях ведут на старый домен 🙁

Добавить комментарий

%d такие блоггеры, как: