Первым делом хочется, конечно, защитить все самое ценное и беззащитное, а именно DNS и HTTP трафик. Начнем с HTTP. Однако если требуется разрешение имен для ресурсов, развертываемых в виртуальной сети, следует указать внутренний DNS-сервер сервер на момент изменения настроек должен работать. В режиме отладки импорт будет происходить пошагово, если конфигурация будет с ошибкой или несовместимыми параметрами, то мы поймем, на каком этапе возникает проблема и сможем отредактировать файл и попытаться импортировать снова.

Записки IT специалиста

Научиться настраивать MikroTik с нуля или систематизировать уже имеющиеся знания можно на углубленном курсе по администрированию MikroTik. Автор курса, сертифицированный тренер MikroTik Дмитрий Скоромнов, лично проверяет лабораторные работы и контролирует прогресс каждого своего студента. В три раза больше информации, чем в вендорской программе MTCNA, более 20 часов практики и доступ навсегда.

Что касается PPTP, то здесь все достаточно хорошо, даже недорогие модели роутеров позволяют достигать скоростей около 100 МБит/с, но при этом следует помнить, что PPTP имеет слабое шифрование и не считается безопасным в современных реалиях. Однако он может быть неплохим выбором, если вы хотите завернуть в него изначально защищенные сервисы, например, при помощи SSL.

Мнение эксперта

Чоповец Владимир Петрович, специалист по ремонту ноутбуков

Если у вас не получается разобраться самостоятельно, пишите мне, я помогу!

Задать вопрос эксперту

Запускаем в Winbox терминал и вводим команды interface ovpn-client жмем Enter, monitor жмем Enter, указываем номер интерфейса в моем случае 0. Если самостоятельно разобраться в нюансах не получается, пишите мне!

Настройка надежной VPN связки MikroTik и Microsoft Azure

Предварительная настройка роутера

После того, как вы определились со структурой сети, следует перейти в IP — Pool и создать новый пул адресов для выдачи удаленным клиентам. Количество адресов в пуле должно соответствовать количеству планируемых VPN-клиентов, либо превышать его.

На вкладке General задаем параметры: Local Address — локальный адрес сервера, должен принадлежать к тому же диапазону, что и пул адресов, который вы задали выше, Remote Address — адреса для выдачи удаленным клиентам, указываем в этом поле созданный пул.

Следящая вкладка — Protocols, здесь мы рекомендуем установить параметр Use Encryption в положение required, что будет требовать от клиента обязательного использования шифрования.

Чтобы добавить новый профиль в терминале выполните (в данном случае мы создаем профиль с именем vpn):

Чтобы изменить существующий default-encryption:

Для default вместо set *FFFFFFFE укажите set *0:

Остальные параметры оставляем без изменений, для удаленных клиентов они не применяются (в том числе сжатие) и работают только при соединении между устройствами с RouterOS. Отсутствие сжатия также следует учитывать, особенно если ваши клиенты используют медленные каналы подключения, скажем 3G-модемы.

В терминале:

При создании учетных данных уделите должное внимание политике паролей, особенно для PPTP.

Для того, чтобы включить Proxy ARP в роутере Mikrotik перейдите в настройки интерфейса, обслуживающего вашу локальную сеть, чаще всего это будет мостовой интерфейс bridge, в нашем случае это один из ether-портов, и в поле ARP установите значение proxy-arp. Следящая вкладка — Protocols , здесь мы рекомендуем установить параметр Use Encryption в положение required , что будет требовать от клиента обязательного использования шифрования. Для этого нам потребуется изменить параметры IPsec, так как L2TP сервер безальтернативно использует параметры по умолчанию будем менять именно их.

Настройка Proxy ARP для VPN-подключений на роутерах Mikrotik

Освоить MikroTik вы можете с помощью онлайн-курса «Настройка оборудования MikroTik». В курсе изучаются все темы из официальной программы MTCNA. Автор – официальный тренер MikroTik. Материал подходит и тем, кто уже давно работает с оборудованием MikroTik, и тем, кто еще не держал его в руках. В состав входят 162 видеоурока, 45 лабораторных работ, вопросы для самопроверки и конспект.

Описываемый нами способ применим именно для подключения клиентских устройств, применять для объединения сетей его не следует. Его отличительной особенностью является выдача VPN-клиентам адресов из диапазона локальной сети. Давайте рассмотрим следующую схему:

Сам тип VPN не имеет принципиального значения, но рекомендуется использовать те варианты подключения, стандартные клиенты для которых имеются на целевых клиентских устройствах, это может быть PPTP или L2TP/IPsec.

В нашем примере это будет L2TP-клиент, который успешно подключился к нашему роутеру и получил адрес 192.168.111.148:

На первый взгляд все хорошо, клиент получил адрес из диапазона локальной сети и вроде бы должен взаимодействовать с ней без маршрутизации, но если мы попытаемся получить доступ к указанному нами на схеме серверу, то нас постигнет неудача.

Когда мы хотим соединиться с узлом 192.168.111.101 хост посылает широковещательный ARP-запрос:

Его получают все узлы сети, но отвечает только обладатель адреса:

Причем обмен практически именно так и происходит, ниже реальный пример ARP-запросов и ответов в локальной сети.

Получив MAC-адрес хост помещает его в ARP-таблицу и в дальнейшем может общаться с данным узлов, не посылая каждый раз ARP-запросы.

Чтобы выйти из этой ситуации можно использовать Proxy ARP, эта технология представляет прокси-сервер для ARP-запросов, позволяя связать на канальном уровне разные сети. Теперь, получив от клиента ARP-запрос сервер ответит MAC-адресом, на который клиент может посылать Ethernet-фреймы.

Существуют разные варианты ARP-прокси, в простейшем случае, который реализован в Mikrotik, роутер ответит на ARP-запрос собственным MAC-адресом, а получив Ethernet-фрейм передаст его на интерфейс, на котором включен Proxy ARP. Таким образом удаленный клиент и узлы локальной сети смогут общаться между собой на канальном уровне без привлечения маршрутизатора (как им кажется).

Мнение эксперта

Чоповец Владимир Петрович, специалист по ремонту ноутбуков

Если у вас не получается разобраться самостоятельно, пишите мне, я помогу!

Задать вопрос эксперту

MikroTik RouterOS имеет несколько моделей и есть очень доступные модели устройств, которые вы также можете использовать, чтобы научиться настраивать защищенный канал с облаком Azure. Если самостоятельно разобраться в нюансах не получается, пишите мне!

Настройка Proxy ARP для VPN-подключений на роутерах Mikrotik

В качестве VPN я выбрал SoftEther: он настолько же прост в настройке как и RRAS и такой же быстрый. На стороне VPN сервера включил Secure NAT, других настроек не проводилось. DHCP сервер Микротика никак не заставить работать с PPP, а вот направить запрос DHCPInfo из PPP на другой DHCP сервер в сети предприятия — можно. Соединение устанавливается, VPN работает, но поддерживать соединение без постоянных реконнектов и ошибок в логе Mikrotik не умеет.

Шаг 4. Создание VPN шлюза

1. На портале, нажмите кнопку + Создать ресурс.
2. В поле поиска введите Local network gateway (Локальный сетевой шлюз), а затем нажмите клавишу ВВОД для поиска. Щелкните локальный сетевой шлюз, затем нажмите кнопку Создать, чтобы открыть страницу Создание шлюза локальной сети:

На этом шаге мы настроим Mikrotik в качестве VPN-шлюза. При настройке VPN-устройства необходимо следующее:
• Общий ключ (Shared key). В примере я использовал простой ключ, вам рекомендую использовать более сложный.
• Публичный IP-адрес шлюза Azure (выше можно найти наш адрес 40.89.ХХ.ХХ).

MikroTik RouterOS имеет несколько моделей и есть очень доступные модели устройств, которые вы также можете использовать, чтобы научиться настраивать защищенный канал с облаком Azure.

Важный момент, протокол IKEv2 появился в релизе 6.38. Поэтому, чтобы продолжить настройку, убедитесь, что у вас установлена совместимая версия. Я использовал в качестве офисного шлюза RouterBoard 1100AHx2 с прошивкой RouterOS 6.42.5.

Настройку VPN шлюза Mikrotik буду выполнять с помощью штатной утилиты управления Winbox:

Мнение эксперта

Чоповец Владимир Петрович, специалист по ремонту ноутбуков

Если у вас не получается разобраться самостоятельно, пишите мне, я помогу!

Задать вопрос эксперту

Клиентская машина отправляет пакет в Вашу необходимую сеть, машина видит, что такой сети она не знает, поэтому отправляет на шлюз l2tp local ip микротика. Если самостоятельно разобраться в нюансах не получается, пишите мне!

Шаг 5. Создание шлюза локальной сети