Меню

Mikrotik rb951g 2hnd настройка pptp



Настройка PPTP Сервера на MikroTik

В сегодняшней статье мы рассмотрим настройку PPTP-сервера на Mikrotik (RouterOS) через Winbox. Роутер будет находиться на нашем тестовом стенде EVE-NG, по этому я буду использовать образ Mikrotik CHR 6.45.7 для виртуальных машин.

Пару слов о протоколе PPTP. Протокол является клиент-серверным, работает по TCP и использует в своей работе GRE. Стоит отметить, что ваши данные будут гарантированно доставлены благодаря использованию TCP. Зачастую бывает, что провайдер блокирует GRE, в результате соединение между клиентом и сервером не может установиться.

Имейте ввиду, что если вы собираетесь использовать внутри PPTP телефонию, то качество связи может ухудшиться. Предполагается что на роутере настроен доступ в интернет, и провайдер предоставляет публичный (белый) IP адрес.

Настройка

Для начало нам нужно подключится к роутеру через Winbox.

MikroTik имеет доступ в интернет через интерфейс ether1 с адресом 172.16.11.2/24. Так же на нем настроена локальная сеть на интерфейсе General-Bridge с адресом 192.168.10.1/24. В Bridge находятся интерфейсы ether2-ether4

Открываем вкладку PPP:

Нас интересует PPTP Server, и сразу дам рекомендацию, не нужно заходить в нее и включать сервер PPTP. Большая ошибка многих конфигураций — это использование стандартных профайлов. Прежде чем включать VPN, нужно создать и настроить новый. Он нужен для более тонкой настройки PPTP сервера Mikrotik. В нем мы включаем и отключаем нужные параметры. Предлагаю взглянуть.

Переходим в Profiles

Жмем на плюс, так же стандартные Profile не нужно удалять или выключать.

Перед нами открывается окно нового профайла. В строке «Name» задаем понятное имя. В строке Local Address указываем IP адрес Mikrotik в VPN. Я указываю 172.16.25.1. То есть при подключении клиента к PPTP VPN автоматически назначается именно это адрес для сервера Mikrotik.

В строке Remote Address указываю IP адрес или пул адресов для клиентов внутри VPN. Так как я буду подключать больше одного клиента к VPN, то создам пул из той же подсети.

Переходим в нужный нам раздел IP-Pool.

Создаю пул, нажатием плюс. Задаю имя PPTP-VPN-Clients и задаю IP адреса 172.16.25.10-172.16.25.20 в строке Address.

Нажимаем Apply и Ok. Проверяем, создался ли наш пул. Если все хорошо, то возвращаемся к созданию PPTP профайла.

В строке Remote Address выпадающего списка, стал доступен наш пул. Выбираем его.

Приведем свежующие параметры к такому виду:

  • переключаем Change TCP MSS в yes;
  • параметр Use UPnP переключаем в no.

Снова рекомендация, никогда не оставляйте default если хотите, чтобы все работало именно так как, вы планируете.

Переходим в Protocols и изменяем:

  1. Ставим no для Use MPLS;
  2. Ставим yes для Use Compression;
  3. Ставим yes для Use Encryption.

Далее в Limits указываем no для Only One. Остальные настройки можно не задавать. К примеру, если бы нужно было ограничить скорость клиента в VPN, то нас интересовала вкладка Queue – но это совсем другая история.

Теперь можно сохранять. Жмем Apply и OK

В списке должен появиться наш созданный профайл.

Нам осталось включить PPTP сервер на Mikrotik и настроить Firewall. Нас интересует PPTP в меню Interface.

Ставим галочку Enabled.

Выбираем в Default Profile наш созданный PPTP-General-Profile.

Authentication — для более безопасной проверки подлинности рекомендую использовать только mschap2. Мы отключаем все другие протоколы проверки подлинности, но будьте осторожны, т.к. некоторые устройства могут не поддерживать протокол MS-CHAPv2.

Жмем Apply и OK.

Настройка Firewall для PPTP Сервера

На этом еще не все, нам осталось настроить Firewall. Если ваш роутер с пустой конфигурацией, то делать ничего не нужно. Если у вас есть запрещающие правила входящего трафика, то нужно внести некоторые изменения.

Внимание, если вы используете default config, то правила вносить необходимо.

Переходим в Firewall. (IP-Firewall), выбираем Filter Rules и жмем плюс.

В окне создания New Firewall Rule выбираем цепочку input, поскольку трафик будет идти именно на роутер (входящий трафик).

Protocol выбираем gre.

Connection State ставим галочку new.

Далее идем во вкладку Action и в параметре Action проверяем чтобы значение было на accept.

Нажимаем Apply и OK.

Создаем еще одно. Нажимаем плюс. Все параметры остаются такие же, за исключением параметров Protocol и Dst.port.

Protocol выбираем tcp

Сохраняем и проверяем.

Все на месте. Обязательно после сохранения переместите их выше блокирующих, это значит если у вас есть блокирующее правило входящего трафика в цепочке input, то последние два нужно поднять.

Для удобства подпишем их одним комментарием.

Читайте также:  Ccproxy инструкция по настройке

Теперь понятно, что это за правила, в какой цепочке и для чего нужны.

Пару слов про блокировку GRE. Некоторые товарищи все же блокируют его, но как понять, доходит ли пакеты до нас?

Расскажу маленькую хитрость. В каждом правиле firewall есть счетчик, они называются Bytes и Packets.

Если в процессе подключения эти счетчики не изменяются, значит пакеты просто не доходят до вашего роутера. В подобных ситуациях нужно пробовать другие протоколы VPN. В следующий статье мы расмотрим настройку и подключение клиента к нашему PPTP серверу на оборудование микротик.

89 вопросов по настройке MikroTik

Вы хорошо разбираетесь в Микротиках? Или впервые недавно столкнулись с этим оборудованием и не знаете, с какой стороны к нему подступиться? В обоих случаях вы найдете для себя полезную информацию в курсе «Настройка оборудования MikroTik». 162 видеоурока, большая лабораторная работа и 89 вопросов, на каждый из которых вы будете знать ответ. Подробности и доступ к началу курса бесплатно тут.

Источник

Mikrotik rb951g 2hnd настройка pptp

1. Wi-Fi. Беспроводное подключение может быть “узким местом”, не позволяющим получить максимальную скорость доступа в интернет.

От чего зависит скорость Wi-Fi соединения?

1.1. Стандарт. Производители оборудования в целях рекламы указывают на коробках своих устройств максимальную теоретически возможную скорость,
которую покупатель в практической работе получить не может. В таблице приведены значения скорости в зависимости от стандарта беспроводного подключения.

Стандарт Теоретически возможная скорость, мбит/c Максимальная скорость при тестировании, мбит/c
802.11b/g 54 22
802.11n/150 20мГц 150 45
802.11n/300 40мГц 300 90
802.11ac 1300 и выше 250

Стандарт 802.11ac находится в разработке. Первые версии устройств уже сейчас доступны на рынке и показывают хорошую производительность.
В будущем производители обещают еще более высокие показатели.

1.2. Совместимость роутера и оконечного устройства. Например, если ваш роутер работает по стандарту n, а Wi-Fi адаптер ноутбука – 802.11g,
то соединение между этими устройствами будет по 802.11g. Кроме того, оборудование разных производителей имея один стандарт, могут иметь хорошую или наоборот плохую совместимость.

1.3. Помехи, которые создают устройства работающие на частотах 2,4/5 ГГц. Например, бытовая техника или другие Wi-Fi роутеры, установленные неподалеку.

1.4. Препятствия (двери, стены) между роутером и абонентским устройством ослабляют сигнал, что приводит к снижению скорости работы.

2. Вредоносные программы (вирусы) часто приводят к “торможению” компьютера и снижению его производительности. При измерении скорости, нужно убедиться,
что на компьютере отсутствуют вирусы.

3. Firewall или пакетный фильтр — программа предназначенная для повышения безопасности компьютера. При передаче данных с большой скоростью данная программа может потреблять
большое количество вычислительных ресурсов компьютера. В момент измерения скорости мы рекомендуем отключать Firewall.

4. У старых и медленных процессоров типа Intel Celeron, Atom может не хватить вычислительной мощности. Производительность вашего компьютера должна быть достаточной,
для передачи данных с большой скоростью.

5. Перегрузка участков сети интернет или удаленного сервера.

Последовательность действий в настройках MIKROTIKа очень важна! Так как изменения некоторых пунктов ведет изменения в других полях настроек, что не приводит к нужным результатам. Следуйте именно нумерациям инструкции.

Для настроек роутеров (маршрутизаторов) MIKROTIK необходима утилита WINBOX. Так как новый роутер поставляется с выключенной опцией получение IP адреса автоматически (DHCP), или после сброса настроек MIKROTIK полностью. Утилитой WINBOX можно войти в настройки роутера по MAC адресу или по IP адресу, WEB браузером можно зайти только по IP адресу. Первоначальные настройки можно произвести не только с устройства имеющий разъем RJ-45 но и Wi-Fi соединению, так как утилита Windox так-же сможет определить MAC адресс MicroTik-а (по умолчанию пароль на Wi-Fi отсуствует)

Следовательно: сначала необходимо скачать утилиту WINBOX (необходим интернет) а затем подключать сам роутер к ПК.

Mikrotik настраивается и работает с прошивкой не ниже 6.18, обязательно прошить и только потом приступить к настройке. Подробнее

1. Пункт

Скачать и просто запустить winbox.exe (инстоляция не требуется) с сайта Mikrotik-a http://www.mikrotik.com/
прямая ссылка: http://download2.mikrotik.com/routeros/winbox/3.0beta3/winbox.exe , (при смене версии winbox-а ссылка становится не рабочей)
Скачать локально: http://www.koptevo.net/download/93

2. Пункт

  • 1) Подключите устройство к компьютеру проводом, поставляющимся в комплекте, в «LAN» порт один из четырех. До характерного механического щелчка.
  • 2) Провод Интернета (проложенный из коридора) подключите в «PoE». До характерного механического щелчка.
  • 3) Включить питание MIKROTIKа.

При включении в розетку маршрутизатор издает 1 короткий звуковой сигнал (beep), готовность роутера к работе: 2 коротких звуковых сигнала (beep-beep).

3. Пункт

Запустить утилиту winbox.exe (заранее уже скаченную)

Читайте также:  Nissan x trail ошибка настройки шасси

Выбрать мышкой ярлык «Neigbors»

4. Пункт

  • 1) Выбрать 1 кликом левой клавиши мышки поле «MAC Address».
  • 2) В поле «Connect To» появится MAC адрес роутера, или IP адрес (если выдан IP по DHCP адрес сетевой карте).
  • 3) В поле «Login» необходимо прописать admin (латиница)
  • 4) В поле «Password» пусто (по умолчанию пароля нет)
  • 5) Нажать «Connect»

По умолчанию адрес роутера присваивается 192.168.88.1

5. Пункт

В приветствии нажать «OK»

6. Пункт

Выбрать «Quick Set»

7. Пункт

Выбрать мышкой (курсором) из всплывающего меню «Quick Set» пункт «WISP AP»

8. Пункт

В меню «Подтверждения выбора о смене изменений» нажать «Yes»

9. Пункт

  • 1) В поле «NetworkName» прописать имя вашей беспроводной сети (Wi-Fi).
    Имя беспроводной сети ! ( Настоятельно рекомендуем не оставлять имя сети по умолчанию ). Регистр имеет значение: если при подключении, имя сети вводится в ручную на принимающем устройстве. Имя сети вводить только на Английском языке и без «спец» символов .
  • 2) В поле «Frequency» выбрать: «auto»
  • 3) Установить галочки в «Security»: «WPA» и «WPA2»
  • 4) Установить галочки в «Encryption»: «aes com» и «tkip»
  • 5) В поле «WiFiPassword»: Ключ безопасности вашей сети ( не меньше 8 символов, только английские буквы, регистр букв имеет значение ) «Hide» — скрывает вводимый пароль
  • 6) Установить в «Address Acquisition» «Static»
  • 7) Заполнить поле «IP Address»: (Ваш IP адрес из договора)
  • 8) Изменить Netmask: (Ваша маска из договора) (изменяется мышкой)
  • 9) Заполнить поле Gateway: (Ваш шлюз из договора)
  • 10) Заполнить поля DNS Server: 217.78.176.1 217.78.177.250 (ДНС сервера из договора) (второе поле отрывается мышкой нажав на треугольник в низ)
  • 11) Нажать «OK»

10. Пункт

Выбрать (боковое меню) IP>Routers

11. Пункт

Кликнуть на первое поле с адресом 0.0.0.0/0

12. Пункт

В поле «Distance:» изменить значение «1» на «2»
Нажать «OK»

13. Пункт

Нажать на «+»

14. Пункт

В поле прописать «Dst. Address:»: 10.0.0.0/255.0.0.0
В поле «GateWay:»: (Ваш шлюз из договора)
Нажать «ОК»

15. Пункт

Аналогичным способом заполнить все 6 пунктов маршрутизации.

«Dst. Address 10.0.0.0/8 или 10.0.0.0/255.0.0.0 «GateWay (Ваш шлюз из договора)
«Dst. Address 172.16.0.0/12 или 172.16.0.0/255.240.0.0 «GateWay (Ваш шлюз из договора)
«Dst. Address 192.168.0.0/16 или 192.168.0.0/255.255.0.0 «GateWay (Ваш шлюз из договора)
«Dst. Address 79.98.136.0/21 или 79.98.136.0/255.255.248.0 «GateWay (Ваш шлюз из договора)
«Dst. Address 217.78.180.0/23 или 217.78.180.0/255.255.254.0 «GateWay (Ваш шлюз из договора)
«Dst. Address 217.78.176.0/22 или 217.78.176.0/255.255.252.0 «GateWay (Ваш шлюз из договора)

где — обязательно свериться с договором. (основной шлюз).

16. Пункт

Выбрать (боковое меню) IP>Firewall

17. Пункт

(IP Телевидение)
Нажав «+» добавляем правило

  • 1) В поле «Chan» выбираем «input»
  • 2) В поле «Protocol» выбираем «igmp»
  • 3) В поле «In. Interface» выбираем «ether1-gateway»
  • 4) Нажимаем «Comment» вводим в появившемся поле «IPTV»
  • 5) Нажимаем «OK» в дополнительном меню
  • 6) Нажимаем «OK»

18. Пункт

Перетаскиваем мышкой (удерживая левую кнопку мышки) поле «IP TV» в самое начало списка

19. Пункт

Выбрать (боковое меню) Routing>IGMP Proxy

20. Пункт

Нажать «+»

21. Пункт

  • 1) В поле «Interface» выбрать «ether1-gateway»
  • 2) В поле «AlternativeSubnets кликнуть 1 раз мышкой, поле активизируется «0.0.0.0/0»
  • 3) Установить галочку «Upstream»
  • 4) Нажать «ОК»

22. Пункт

Нажать «+»

23. Пункт

  • 1) В поле «Interface» выбрать «bridge-local»
  • 2) Нажать «ОК»

24. Пункт

Нажать «X» закрыв окно настроек

25. Пункт

Выбрать (боковое меню) «Wireless»

26. Пункт

Два раза кликнуть мышкой на строке «wlan1»

27. Пункт

Выбрать ярлык «Wireless»

28. Пункт

Нажать кнопку «Advanced Mode»

29. Пункт

Выбрать из всплывающего (Multicast Helper:) меню «full»
Нажать «OK»

30. Пункт

Пункт Выбрать (боковое меню) PPP

31. Пункт

Выбрать ярлык «Profiles»

32. Пункт

Нажать «+»

33. Пункт

  • 1) В поле «Name» набираем «koptevoNet_pptp»
  • 2) В поле «Remote Address» набираем «192.168.255.254»
  • 3) «Change TCP MSS» выставляем «Yes»
  • 4) Нажимаем кнопку «Aplly»
  • 5) Выбираем ярлык «Protocols»

34. Пункт

Читайте также:  Настройка автозапуска на сигнализации starline a91 по температуре

«Use MPLS»
«Use Compression»
«Use VJ Compression»
«Use Encryption»
в «No»
Нажимаем «OK»

35. Пункт

Выбираем ярлык «Interface»

36. Пункт

Нажимаем «+»

37. Пункт

Выбираем из меню «PPTP Client»

38. Пункт

Выбираем ярлык «Dial Out»

39. Пункт

  1. В поле «Connect To» прописываем «VPN сервер» «vpn.koptevo.net». Для тарифов с ограничением трафика «VPN сервер»: lvpn.koptevo.net (первая буква — английская маленькая «эль»)
  2. В поле «User» прописываем «*/****» Имя пользователя: (Номер договора с «/» дробью)
  3. В поле «Password» прописываем «******** » Пароль: (Из договора, по умолчанию пароль на статистику)
  4. В поле «Prifile» выбираем мышкой «koptevoNet_pptp»
  5. Устанавливаем галочку «Add Default Route»
  6. Нажимаем «OK»

40. Пункт

Выбрать (боковое меню) «IP» > «Firewall»

41. Пункт

Нажать на ярлык «NAT»

42. Пункт

Нажать «+»

43. Пункт

Выбрать мышкой в «Out. Interface» пункт «pptpout

Нажать «Apply»

44. Пункт

Выбрать ярлык «Action»

45. Пункт

Выбрать мышкой пункт «masquerade»

Нажать «OK»

Необязательные настройки

46. Пункт

(Удаленное управление) Через WEB интерфейс.

Выбрать (боковое меню) IP > Services

47. Пункт

Через WEB интерфейс

Выбрать www
В поле «Port:» выставить 8080
В поле «Available From прописать необходимый IP для подключение только с этого адреса
(Указать внешний IP адрес для управление, для управления с локальных адресов через ВЕБ браузер указать 192.168.88.0/24)
Нажать «OK»

48. Пункт

Через WINBOX утилиту

Выбрать winbox
В поле «Port:» выставить 8291 (порт по умолчанию)
В поле «Available From:» прописать необходимый IP для подключение только с этого адреса с необходимой маской
(Указать IP адрес, для управления с локальных адресов через ВЕБ браузер 192.168.88.0/24)
Нажать «OK»

49. Пункт

Выбрать (боковое меню) IP > Firewall

50. Пункт

Нажать «+»

51. Пункт

Для WEB интерфейса нажав «+» добавляем правило

  • 1) В поле «Chan» выбираем «input»
  • 2) В поле «Protocol» выбираем «tcp»
  • 3) В поле «Dst. Port:» прописываем «8080»
  • 4) В поле «In. Interface» выбираем «ether1-gateway»
  • 5) Нажимаем «Comment» вводим в появившемся поле «WEBaccess»
  • 6) Нажимаем «OK» в дополнительном меню
  • 7) Нажимаем «OK»

52. Пункт

Перетаскиваем мышкой (удерживая левую кнопку мышки) поле «WEB access» в самое начало списка

Нажать «X» закрыв окно настроек

53. Пункт

Для WINBOX интерфейса
Нажав «+» добавляем правило

  • 1) В поле «Chain:» выбираем «input»
  • 2) В поле «Protocol» выбираем «tcp»
  • 3) В поле «Dst. Port:» прописываем «8291»
  • 4) В поле «In. Interface» выбираем «ether1-gateway»
  • 5) Нажимаем «Comment» вводим в появившемся поле «WINBOXaccess»
  • 6) Нажимаем «OK» в дополнительном меню
  • 7) Нажимаем «OK»

52. Пункт

Перетаскиваем мышкой (удерживая левую кнопку мышки) поле «WINBOX access» в самое начало списка

Нажать «X» закрыв окно настроек

Замечено:

Что при подключении по LAN-у иногда (

1% к 100, то есть проявляется крайне редко) скорость подключения по проводной сети (при установленной сетевой карте 1000 Mb/s в ПК) устанавливается скорость соединения 10 Mb/s или 100 Mb/s в место 1000 Mb/s. Несколько вариантов обойти проблему:

Отключить кабель LAN от роутера или PC на 10-15 секунд и включить обратно. Что далеко не удобно
Выставить «ЖЕСТКО» скорость соединения 1000 Mb/s на сетевой карте. Что не всегда удобно если приходится подключатся к устройствам не поддерживающим скорость соединения 1000 MB/s.

Выставить «ЖЕСТКО» скорость соединения «1000 Mb/s Full Duplex» на самом роуторе. Можно для каждого LAN порта выставить свои настройки соединения с определенной скоростью. То есть выставить (например) скорость на 1-вом LAN порту «1000 Mb/s Full Duplex» а на остальных 3-х оставить AUTO определение.

Замечено на разных сетевых картах, на разных патч-кордах и разной длинны.

Бесплатное подключение к интернет. Провайдер м. Войковская (районы Войковский, Коптево), м. Дмитровская, м. Тимирязевская (район Дмитровский), м. Печатники (район Печатники). Интернет по доступным ценам для частных лиц и организаций на улицах Большая Академическая, Михалковская, Нарвская, Коптевская, на улице Гурьянова и на всех других улицах, перечисленных районов.

Источник

Adblock
detector