Заходим с помощью WinBox на роутер Микротик, на котором мы будем поднимать OpenVPN сервер. Копируем 3 вышеуказанных файла из папки, где они лежат, и вставляем с помощью меню: Files — Paste. OpenVPN имеет много преимуществ, благодаря которым он по-прежнему один из самых популярных протоколов для поднятия VPN туннелей. Для работы нам понадобиться Белый IP адрес он и будет адресом сервера в наших настройках , для доступа к серверу из интернета и сертификаты безопасности.

Mikrotik 2 Mikrotik. VPN с доступом к ресурсам обеих сетей

Случилось так, что родственники в деревне, к которым мы часто ездим в гости, подключились к Интернету. Эта новость меня очень обрадовала, так как мобильная сеть, которой мы обычно пользовались ловит более-менее только тогда, когда мобильный телефон лежит на настенных часах под самым потолком и раздает по Wi-Fi Интернет по дому.

Соответственно, появилась необходимость мониторить их маршрутизатор, а так же сделать удалённый доступ к моему домашнему NAS, чтобы можно было бабушкам и дедушкам показывать фотки и видео внучки (ну и наши тоже), а также периодически запрещать устройству ребёнка ютубить. Воплотить данную задачу в жизнь я решил используя маршрутизатор Mikrotik hAP AC Lite.

Провайдер, который предоставляет Интернет услуги в деревне, использует для подключения технологию динамический IP-адрес. Причем это адрес 10.X.X.X недоступный из внешней сети Интернет, поэтому есть необходимость организовать к нему доступ по типу облака. Мой провайдер предоставляет Интернет по той же технологии, но с реальным динамическим адресом. Поэтому я настроил следующую схему:

Первым делом, на ведущем маршрутизаторе RB2011 с сервером PPtP, необходимо включить функцию DDNS (так как выдается реальный динамический IP-адрес и при каждом новом подключении он может меняться).

Если в поле “DNS Name” сразу после применения функции не появится сгенерированное имя сервера, то необходимо нажать кнопку “Force Update” и немного подождать. В последствии мы будем использовать это имя для настройки подключения PPtP-клиента на ведомом маршрутизаторе hAP AC Lite.

Так как существует очень много информации и описаний настройки PPtP сервер-клиент в Интернете, буду краток и начнём мы с ведущего RB2011:

2. PPP -> Secrets – +, добавляем пользователя, в моём случае это “babushka”:

3. Включаем PPtP-сервер, многие рекомендуют оставлять только надёжные методы аутентификации:

После того, как соединение установлено, необходимо проверить каким образом на обоих маршрутизаторах осуществляется маскарадинг. Если на Out-Interface что-то есть, то необходимо добавить еще одно правило с маскарадингом на PPtP соединение, либо убрать полностью все интерфейсы (как у меня), тогда маскарадиться из локальной сети будут все исходящие соединения:

Мнение эксперта

Чоповец Владимир Петрович, специалист по ремонту ноутбуков

Если у вас не получается разобраться самостоятельно, пишите мне, я помогу!

Задать вопрос эксперту

Также я добавил PPtP пользователя типа бабушки себя, и настроил данное подключение на смартфоне, теперь у меня есть доступ к своей домашней сети из любой точки мира, плюс оттуда же и доступ к маршрутизатору бабули. Если самостоятельно разобраться в нюансах не получается, пишите мне!

OpenVPN настройка сервера и клиента на Mikrotik

Открываем vars.bat (если его нет, то vars.bat.sample) блокнотом или NotePad++ и редактируем его. Маршрутизатор добавить динамический IPsec peer с предназначенным ключом безопасности и политиков с параметрами поумолчанию по умолчанию phase2 использует sha1 aes128cbc. Также я добавил PPtP пользователя типа бабушки себя, и настроил данное подключение на смартфоне, теперь у меня есть доступ к своей домашней сети из любой точки мира, плюс оттуда же и доступ к маршрутизатору бабули.

Полезные материалы по MikroTik

Настройка маршрутизатора

Через графический интерфейс

Включить L2TP-сервер. Не смотря на то, что L2TP не несет в себе нормального шифрования, лучше оставить только аутентификацию «mschap2» как наиболее надежную.

Создать профиль для VPN подключений. Указать адрес сервера DC1, который является DNS и WINS сервером. Без указания DNS и WINS VPN-подключение произойдет, но не будет возможности обращаться к узлам по именам.

На интерфейсе маршрутизатора, который смотрит в локальную сеть включить arp-proxy. Это нужно для того, чтобы удаленный клиент мог связываться с локальными хостами:

Создать профиль IPSec для подключения клиента (адрес 0.0.0.0/0 т.к. удаленный адрес клиента неизвестен):

Через консоль

/interface l2tp-server server
set authentication=mschap2 enabled=yes

/ip pool
add name=vpn-pool ranges=172.16.30.102-172.16.30.253

Настройка маршрутизации

Следует учесть

• AES является единственным алгоритмом, который поддерживается модулем аппаратного шифрования, если такой установлен на маршрутизатор.
• Если требуется подключение только по L2TP без IPsec, то достаточно пропустить последний пункт по настройке IPsec. При этом надо учесть, что встроенный VPN-клиент Windows не поддерживает подключение по L2TP без IPSec. Для того, чтобы такое подключение заработало необходимо править реестр операционной системы.

Мнение эксперта

Чоповец Владимир Петрович, специалист по ремонту ноутбуков

Если у вас не получается разобраться самостоятельно, пишите мне, я помогу!

Задать вопрос эксперту

Если на предыдущих шагах все было сделано верно, то VPN-соединение между двумя офисами было установлено, но для того, что бы обе сети могли обмениваться информацией друг с другом они должны знать друг о друге, т. Если самостоятельно разобраться в нюансах не получается, пишите мне!

Mikrotik 2 Mikrotik. VPN с доступом к ресурсам обеих сетей.

/ip route
add comment=»route to filial1 through VPN» dst-address=192.168.25.0/24 gateway=172.16.30.2 pref-src=192.168.15.1
Не смотря на то, что L2TP не несет в себе нормального шифрования, лучше оставить только аутентификацию mschap2 как наиболее надежную. На обоих маршрутизаторах выполнить команду interface ipip print Если соединение установлено успешно, то статус подключения, так же, как и через графический интерфейс, должен отображаться с буквой R.

Проверка

1. Надо убедиться, что между двумя маршрутизаторами MikroTik установлено VPN-соединение. Это описано ниже.
2. Если VPN-соединение установлено успешно, то далее надо проверить есть ли связь между хостами в двух сетях. Для этого достаточно запустить ping с любого компьютера в сети на любой компьютер другой сети.

Через графический интерфейс

Если подключение установлено, то статус подключения должен отображаться с буквой «R«. Что значит running, т. е. запущено.

Через консоль

Выполнить команду
/interface l2tp-server print — на сервере
/interface l2tp-client print — на клиенте
Если соединение установлено успешно, то статус подключения, так же, как и через графический интерфейс, должен отображаться с буквой «R«.

Мнение эксперта

Чоповец Владимир Петрович, специалист по ремонту ноутбуков

Если у вас не получается разобраться самостоятельно, пишите мне, я помогу!

Задать вопрос эксперту

Если в поле DNS Name сразу после применения функции не появится сгенерированное имя сервера, то необходимо нажать кнопку Force Update и немного подождать. Если самостоятельно разобраться в нюансах не получается, пишите мне!

Объединение двух офисов по VPN на Mikrotik. | Помощник Админа