Έχοντας εξετάσει λεπτομερώς στο προηγούμενο άρθρο, πώς να αυξήσετε την πλευρά του διακομιστή της σύνδεσης VPN Πλατφόρμα Windows, προχωράμε στη ρύθμιση μιας σύνδεσης πελάτη PPTP. Αρχικά, θα ήθελα να υπενθυμίσω, για κάθε περίπτωση, ότι το πρωτόκολλο PPTP χρησιμοποιεί δύο συνεδρίες δικτύου: για μεταφορά δεδομένων, δημιουργείται μια περίοδος PPP χρησιμοποιώντας το πρωτόκολλο GRE και μια σύνδεση στη θύρα TCP 1723 για προετοιμασία και διαχείριση σύνδεσης.
Κατά συνέπεια, μην ξεχάσετε να δημιουργήσετε έναν κανόνα για το GRE. Μπορείτε να διαβάσετε πώς να δημιουργήσετε τέτοιους κανόνες σε ένα τυπικό τείχος προστασίας εάν είστε απευθείας συνδεδεμένοι στο Διαδίκτυο. Αν βρίσκεστε πίσω από ρούτερ, μπορείτε να διαβάσετε εδώ.
Όλα αυτά όμως τα έχουμε ήδη διαβάσει, τα ξέρουμε. Επομένως, ας ξεκινήσουμε τη ρύθμιση μιας σύνδεσης VPN πελάτη στο πλαίσιο PPTP.
Για να ξεκινήσετε, πρέπει να πάτε στο Πίνακας Ελέγχου, στο Win7 το μόνο που έχετε να κάνετε είναι να πατήσετε Αρχή. και πηγαίνετε στο Πίνακας Ελέγχου. Στη συνέχεια, ανάλογα με τις ρυθμίσεις οθόνης, κάνουμε είτε κλικ Δίκτυο και διαδίκτυο-> -> . Ή πηγαίνετε κατευθείαν στο Κέντρο Δικτύου και Ελέγχου δημόσια πρόσβαση -> Ρυθμίστε μια νέα σύνδεση ή δίκτυο.
Θα εμφανιστεί ο οδηγός Εγκατάσταση & Συνδέσεις & Δίκτυα. Επιλέγω Σύνδεση σε χώρο εργασίας
Στη συνέχεια, εισαγάγετε τη διεύθυνση Διαδικτύου (διεύθυνση διακομιστή) και το όνομα της σύνδεσης που θα δημιουργηθεί, καλύτερα Επιτρέψτε σε άλλους χρήστες να χρησιμοποιήσουν αυτήν τη σύνδεση. Επίσης, για κάθε ενδεχόμενο, σας συμβουλεύω να επιλέξετε το πλαίσιο Μην συνδεθείτε τώρα. Επειδή θα διαμορφώσουμε τις ρυθμίσεις VPN με μη αυτόματο τρόπο.
Η σύνδεσή μας δημιουργήθηκε με επιτυχία. Τώρα πρέπει να το ρυθμίσετε. Μεταβείτε στην ενότητα Αλλαγή ρυθμίσεων προσαρμογέα από το παράθυρο Κέντρο δικτύου και κοινής χρήσης.
Εκεί αναζητούμε τη σύνδεσή μας VPN και με τη βοήθεια του RMB πηγαίνουμε στο στοιχείο μενού Ιδιότητες. Στην καρτέλα Ασφάλειαστον τύπο VPN, επιλέξτε PPTP. Στην πραγματικότητα, αυτό είναι όλο. Δεν υπάρχει τίποτα άλλο για διαμόρφωση στην πλευρά του πελάτη μέσω του πρωτοκόλλου PPTP.
1. Δημιουργήστε ένα τούνελ στην προσωπική σελίδα του συστήματος και μετά
2. Μεταβείτε στις ρυθμίσεις VPN του λειτουργικού σας συστήματος και δημιουργήστε μια νέα σύνδεση.
Καθορίστε τη διεύθυνση διακομιστή msk.site,
Στην καρτέλα "Ασφάλεια", επιλέξτε - Τύπος VPN - PPTP
Ορίστε την κρυπτογράφηση σε "Προαιρετικό"
Έλεγχος ταυτότητας - ΚΕΦ. MS-CHAP v2
3. Στην καρτέλα Ρυθμίσεις IP, καταργήστε την επιλογή "Χρήση προεπιλεγμένης πύλης σε απομακρυσμένο δίκτυο"
4. Εάν θέλετε να χρησιμοποιήσετε την υπηρεσία του διακομιστή μας WINS, μπορείτε να επιλέξετε "Ενεργοποίηση Netbios μέσω TCP / IP" (αλλά για απλή σύνδεσησήραγγα αυτό το στοιχείο δεν είναι σημαντικό)
5. Πραγματοποιήστε μια σύνδεση και ελέγξτε ότι η διεύθυνση 172.16.0.1 έχει γίνει ping και, στη συνέχεια, ελέγξτε ότι ο υπολογιστής σας είναι αυτόματα (από Πρωτόκολλο DHCP) έλαβε τις απαραίτητες διαδρομές:
172.16.0.0 255.255.0.0
Η διαδρομή που οδηγεί στο τηλεκοντρόλ σας οικιακό δίκτυο 192.168.x.x 255.255.255.0 (εάν υπάρχει). .
Για να το κάνετε αυτό, εκτελέστε την εντολή εκτύπωση διαδρομήςστον υπολογιστή σου. Μεταξύ των διαδρομών θα πρέπει να αναφέρονται παραπάνω.
ΥΓ: Προκειμένου να καταπολεμήσουμε τις κολλημένες συνεδρίες, απενεργοποιούμε αναγκαστικά τις σήραγγες χρήστη με πρωτόκολλα PPTP, L2TP, L2TP/IPsec 24 ώρες μετά τη δημιουργία μιας σύνδεσης. Στο σωστή ρύθμισηοι συνδέσεις θα πρέπει να αποκατασταθούν αυτόματα.
Πολλοί χρήστες πιθανότατα έχουν ακούσει για τον όρο "σύνδεση PPTP". Μερικοί άνθρωποι δεν φαντάζονται καν τι είναι. Ωστόσο, εάν απλή γλώσσαπεριγράψτε τις αρχές δημιουργίας μιας σύνδεσης με βάση αυτό το πρωτόκολλο, δεν είναι δύσκολο να τα καταλάβεις.
Τι είναι μια σύνδεση PPTP;
Σύνδεση αυτού του τύπουβασίζεται στο ομώνυμο πρωτόκολλο, το όνομα του οποίου προέρχεται από το αγγλικό πρωτόκολλο point-to-pointtunneling. Κυριολεκτικά, αυτό μπορεί να μεταφραστεί ως "πρωτόκολλο σήραγγας από σημείο σε σημείο". Με άλλα λόγια, πρόκειται για μια σύνδεση μεταξύ δύο συνδρομητών μέσω κρυπτογραφημένης μετάδοσης πακέτων δεδομένων μέσω μη ασφαλών δικτύων που βασίζονται σε TCP / IP. Ο τύπος σύνδεσης PPTP καθιστά δυνατή τη μετατροπή των λεγόμενων πλαισίων PPP σε τυπικά πακέτα IP που μεταδίδονται μέσω το ίδιο Διαδίκτυο. Πιστεύεται ότι το ίδιο το πρωτόκολλο PPTP είναι κατώτερο όσον αφορά την ασφάλεια από άλλες επιλογές όπως το IPSec. Ωστόσο, παρά το γεγονός αυτό, είναι αρκετά διαδεδομένο. Στην πραγματικότητα, ο χρήστης έχει να κάνει με μία από τις ποικιλίες συνδέσεων VPN (ασύρματη σύνδεση).
Γιατί να χρησιμοποιήσετε μια σύνδεση PPTP;
Το πεδίο εφαρμογής του πρωτοκόλλου PPTP είναι αρκετά εκτεταμένο. Πρώτα απ 'όλα, αξίζει να σημειωθεί ότι αυτός ο τύπος σύνδεσης μεταξύ δύο χρηστών σας επιτρέπει να προστατεύετε πληροφορίες, καθώς και να εξοικονομείτε σημαντικά τις υπεραστικές κλήσεις. Το πρωτόκολλο PPTP είναι αρκετά συχνά απαραίτητο για την παροχή επικοινωνίας μεταξύ δύο τοπικών δικτύων μέσω μετάδοσης μέσω του Διαδικτύου μέσω μιας σήραγγας ή μιας ασφαλούς γραμμής χωρίς τη χρήση άμεσης σύνδεσης μεταξύ τους. Αυτό σημαίνει ότι δύο τοπικά δίκτυα δεν έχουν άμεση επαφή και χρησιμοποιούν ένα τούνελ ως ενδιάμεσο. Από την άλλη πλευρά, η δημιουργία σήραγγας με βάση το πρωτόκολλο PPTP μπορεί να χρησιμοποιηθεί κατά τη δημιουργία μιας σύνδεσης πελάτη-διακομιστή. Με αυτή τη σύνδεση, το τερματικό χρήστη συνδέεται με τον διακομιστή μέσω ενός ασφαλούς καναλιού.
Εφαρμογή PPTP σε διάφορα λειτουργικά συστήματα
Ας απομακρυνθούμε λίγο και ας ρίξουμε μια ματιά στη σύνδεση PPTP από την άλλη πλευρά. Λίγοι κατάλαβαν τι ήταν από την ανάπτυξη αυτού του πρωτοκόλλου από τη Microsoft.Στην πλήρη έκδοσή του, το πρωτόκολλο αυτό εφαρμόστηκε για πρώτη φορά από τη Cisco, αλλά οι ειδικοί της Microsoft δεν έμειναν πίσω. Από έκδοση λειτουργίας συστήματα Windows 95 OSR2, η δυνατότητα δημιουργίας σύνδεσης με βάση το πρωτόκολλο PPTP εμφανίστηκε σε μεταγενέστερα προϊόντα λογισμικού, ενώ είχαν ακόμη και τα μέσα να ρυθμίσουν τον διακομιστή PPTP. Ως παράδειγμα, τα παρακάτω θα εξετάσουν μια σύνδεση PPTP σε λειτουργικό σύστημα Windows 7. Αξίζει να σημειωθεί ότι σήμερα αυτό το λειτουργικό σύστημα θεωρείται το πιο δημοφιλές. Μέχρι πρόσφατα, τα συστήματα Linux δεν παρείχαν πλήρη υποστήριξη για το πρωτόκολλο PPTP. Εμφανίστηκε μόνο στην τροποποίηση 2.6.13. Η υποστήριξη για αυτό το πρωτόκολλο ανακοινώθηκε επίσημα στην έκδοση του πυρήνα 2.6.14. Τα λειτουργικά συστήματα MacOSX και FreeBSD διαθέτουν ενσωματωμένους πελάτες PPTP. Palm PDA που υποστηρίζουν ασύρματη σύνδεση Συνδέσεις WiFi, εξοπλισμένο με έναν αποκλειστικό πελάτη Mergic.
Προϋποθέσεις για έγκυρη σύνδεση
Η διαδικασία χρήσης σήραγγας είναι αρκετά συγκεκριμένη. Η εγκατάσταση μιας σύνδεσης PPTP προϋποθέτει τη χρήση της θύρας TCP 1723, καθώς και του υποχρεωτικού πρωτοκόλλου IPGRE αριθμός 47. Επομένως, το τείχος προστασίας, εάν υπάρχει, και το ενσωματωμένο τείχος προστασίας του λειτουργικού συστήματος Windows πρέπει να ρυθμιστούν έτσι ώστε τα πακέτα IP να μπορούν περάσουν ελεύθερα χωρίς περιορισμούς. Αυτό ισχύει όχι μόνο για μηχανές χρηστών, αλλά και για τοπικά δίκτυα. Αυτή η δωρεάν μετάδοση δεδομένων με σήραγγα θα πρέπει να παρέχεται εξίσου σε επίπεδο παρόχου. Στο χρησιμοποιώντας NATστο ενδιάμεσο στάδιο της μεταφοράς δεδομένων, η επεξεργασία VPN πρέπει να ρυθμιστεί ανάλογα.
PPTP: γενικές αρχέςσυνδέσεις και εργασία
Καλύψαμε τη σύνδεση PPTP αρκετά σύντομα. Οι περισσότεροι πιθανότατα καταλαβαίνετε ήδη τι είναι. Για να γίνει πλήρης σαφήνεια σε αυτό το ζήτημα, εξετάστε τις βασικές αρχές λειτουργίας του πρωτοκόλλου και επικοινωνίας που βασίζεται σε αυτό. Θα εξετάσουμε επίσης λεπτομερώς τη διαδικασία δημιουργίας μιας σύνδεσης PPTPGRE Η σύνδεση μεταξύ δύο σημείων γίνεται με βάση μια κανονική συνεδρία PPP που βασίζεται στο πρωτόκολλο GRE (ενθυλάκωση). Η δεύτερη σύνδεση γίνεται απευθείας στη θύρα TCP, η οποία είναι υπεύθυνη για την εκκίνηση και τον έλεγχο GRE. Το ίδιο το μεταδιδόμενο πακέτο IPX αποτελείται απευθείας από δεδομένα, που μερικές φορές ονομάζεται ωφέλιμο φορτίο, και πρόσθετες πληροφορίες ελέγχου. Τι συμβαίνει στο άλλο άκρο της γραμμής όταν λαμβάνεται ένα πακέτο; Το αντίστοιχο πρόγραμμα για τη σύνδεση PPTP εξάγει τις πληροφορίες που περιέχονται στο πακέτο IPX, όπως ήταν, και τις στέλνει για επεξεργασία χρησιμοποιώντας μέσα που αντιστοιχούν στο εγγενές πρωτόκολλο του συστήματος. Επιπλέον, ένα από σημαντικά συστατικάΗ μετάδοση σε σήραγγα και η λήψη βασικών πληροφοριών είναι απαραίτητη προϋπόθεση για τη χρήση της πρόσβασης με χρήση του συνδυασμού "login-password". Εάν εξακολουθείτε να είναι δυνατό να σπάσετε κωδικούς πρόσβασης και συνδέσεις στο στάδιο λήψης, τότε είναι αδύνατο να γίνει αυτό κατά τη διαδικασία μετάδοσης πληροφοριών μέσω ενός ασφαλούς διαδρόμου ή σήραγγας.
Ασφάλεια σύνδεσης
Όπως αναφέρθηκε προηγουμένως, η δημιουργία σήραγγας που βασίζεται στο πρωτόκολλο PPTP δεν είναι απολύτως ασφαλής από όλες τις απόψεις. Λαμβάνοντας υπόψη ότι η κρυπτογράφηση δεδομένων χρησιμοποιεί εργαλεία όπως MSCHAP-v2, EAP-TLS ή ακόμα και MPEE, μπορούμε να μιλήσουμε για αρκετά υψηλός βαθμόςΠΡΟΣΤΑΣΙΑ. Σε ορισμένες περιπτώσεις, για να αυξηθεί το επίπεδο ασφάλειας, μπορούν να χρησιμοποιηθούν επιστροφές κλήσης, στις οποίες ο παραλήπτης ή ο διαβιβαστής συνδέει και μεταδίδει πληροφορίες μέσω προγραμματισμού.
Πώς να ρυθμίσετε το PPTP χρησιμοποιώντας το δικό σας λειτουργικό σύστημα Windows 7: επιλογές προσαρμογέα δικτύου
Σε οποιοδήποτε λειτουργικό σύστημα Οικογένειες WindowsΗ εγκατάσταση μιας σύνδεσης PPTP είναι αρκετά απλή. Όπως αναφέρθηκε προηγουμένως, θα εξετάσουμε τα Windows 7 ως παράδειγμα. Πρώτα απ 'όλα, πρέπει να μεταβείτε στο "Κέντρο δικτύου και κοινής χρήσης". Αυτό μπορεί να γίνει χρησιμοποιώντας τον "Πίνακα Ελέγχου" ή χρησιμοποιώντας το μενού που καλείται κάνοντας δεξί κλικ στο εικονίδιο του δικτύου ή της σύνδεσης στο Διαδίκτυο. Στην αριστερή πλευρά του μενού υπάρχει μια γραμμή για την αλλαγή των ρυθμίσεων του προσαρμογέα δικτύου. Πρέπει να το ενεργοποιήσετε και μετά, κάνοντας δεξί κλικ στη σύνδεση από τοπικό δίκτυοκλήση κατάλογος συμφραζόμενωνκαι επιλέξτε τη γραμμή ιδιοκτησίας. Στο παράθυρο που ανοίγει, πρέπει να χρησιμοποιήσετε τις ιδιότητες του πρωτοκόλλου TCP / IPv4. Στο παράθυρο ρυθμίσεων, πρέπει να καθορίσετε τις παραμέτρους που παρέχονται από τον πάροχο κατά τη σύνδεση. Κατά κανόνα, ορίζεται η αυτόματη λήψη διευθύνσεων για διακομιστές DNS και IP. Πρέπει να αποθηκεύσετε τις αλλαγές που έγιναν και να επιστρέψετε στη σύνδεση τοπικής περιοχής, όπου πρέπει να ελέγξετε αν είναι ενεργή αυτή τη στιγμήχρόνος. Για να το κάνετε αυτό, χρησιμοποιήστε το δεξί κουμπί του ποντικιού. Εάν η επάνω γραμμή λέει "Αποσύνδεση", τότε η σύνδεση είναι ενεργή. Διαφορετικά, πρέπει να το ενεργοποιήσετε.
Δημιουργία και διαμόρφωση VPN
Το επόμενο βήμα είναι να δημιουργήσετε μια σύνδεση VPN. Για να το κάνετε αυτό, στην ενότητα "Κέντρο ελέγχου" στο δεξιό μέρος του παραθύρου, χρησιμοποιήστε τη γραμμή για τη δημιουργία μιας νέας σύνδεσης. Μετά από αυτό, πρέπει να επιλέξετε τη σύνδεση με το χώρο εργασίας και μετά - τη χρήση μιας υπάρχουσας σύνδεσης στο Διαδίκτυο. Στη συνέχεια θα πρέπει να αναβάλετε τη ρύθμιση μιας σύνδεσης στο Διαδίκτυο. Στο επόμενο παράθυρο, πρέπει να καθορίσετε τη διεύθυνση Internet του χειριστή VPN και να καθορίσετε ένα αυθαίρετο όνομα. Στο κάτω μέρος, βεβαιωθείτε ότι έχετε επιλέξει το πλαίσιο δίπλα στη γραμμή "Να μην συνδεθείτε τώρα". Σε αυτό το πεδίο, πρέπει να εισαγάγετε ξανά τα στοιχεία σύνδεσης και τον κωδικό πρόσβασής σας, εάν προβλέπονται από τη σύμβαση παροχής υπηρεσιών, και στη συνέχεια να κάνετε κλικ στο κουμπί "Δημιουργία". Μετά από αυτό, επιλέξτε από τη λίστα διαθέσιμες συνδέσεις, μόλις δημιουργήσατε και κάντε κλικ στο κουμπί ιδιότητες στο νέο παράθυρο. Στη συνέχεια, πρέπει να ενεργήσετε πολύ προσεκτικά. Χωρίς αποτυχία, στην καρτέλα ασφαλείας, πρέπει να εγκαταστήσετε παρακάτω επιλογές:
- Τύπος VPN - αυτόματο.
- κρυπτογράφηση δεδομένων - προαιρετική.
— άδεια πρωτοκόλλων: CHAP και CHAP έκδοση 2.
Τώρα πρέπει να επιβεβαιώσετε τις αλλαγές που έγιναν και να μεταβείτε στο παράθυρο ρύθμισης σύνδεσης, όπου πρέπει να κάνετε κλικ στο κουμπί σύνδεσης. Εάν οι ρυθμίσεις είναι σωστές, θα μπορείτε να συνδεθείτε στο Internet. Αξίζει να το χρησιμοποιήσετε για αυτό το σκοπό βοηθητικά προγράμματα τρίτων? Οι χρήστες αντιδρούν διαφορετικά στο ζήτημα της εγκατάστασης πρόσθετων διακομιστών ή πελατών PPTP. Ωστόσο, οι περισσότεροι από αυτούς συμφωνούν ότι η ρύθμιση και η χρήση της ενσωματωμένης λειτουργικής μονάδας των Windows είναι πολύ πιο προτιμότερη από την άποψη της απλότητας. Φυσικά, μπορείτε να εγκαταστήσετε κάτι σαν το πακέτο pfSense, το οποίο είναι ένα τείχος προστασίας δρομολογητή. Ωστόσο, ο "εγγενής" πελάτης Multilink PPP Daemon έχει πολλά προβλήματα που σχετίζονται με τη χρήση διακομιστών Windows που βασίζονται σε PPTP όσον αφορά τη διανομή της χρήσης του πρωτοκόλλου ελέγχου ταυτότητας μεταξύ του διακομιστή και του πελάτη στο εταιρικά συστήματα. Αξίζει να σημειωθεί ότι δεν σημειώθηκαν τέτοια προβλήματα στα τερματικά οικιακών χρηστών. Αυτό το βοηθητικό πρόγραμμα είναι πολύ πιο δύσκολο στη ρύθμιση· χωρίς τη χρήση ειδικών γνώσεων, είναι αδύνατο να καθοριστούν οι σωστές παράμετροι ή να διορθωθεί η κανονική "συγκέντρωση" της IP του χρήστη. Μπορείτε να δοκιμάσετε κάποια άλλα βοηθητικά προγράμματα διακομιστή ή πελάτη που έχουν σχεδιαστεί για τη δημιουργία σύνδεσης PPTP. Αλλά έχει νόημα να φορτώσει το σύστημα περιττά προγράμματα, αφού κάποιο λειτουργικό σύστημα της οικογένειας των Windows έχει τα δικά του εργαλεία για αυτό το σκοπό; Επιπλέον, μερικά προϊόντα λογισμικούΑπό αυτή την άποψη, είναι τόσο δύσκολο να ρυθμιστούν που μπορούν να προκαλέσουν συγκρούσεις σε επίπεδο φυσικού και λογισμικού, επομένως θα ήταν καλύτερα να περιοριστείτε σε αυτό που είναι.
συμπέρασμα
Στην πραγματικότητα όλα αυτά αφορούν το πρωτόκολλο PPTP, τη δημιουργία, τη διαμόρφωση και τη χρήση μιας σύνδεσης σήραγγας που βασίζεται σε αυτό. Η χρήση αυτού του πρωτοκόλλου για τον μέσο χρήστη δεν δικαιολογείται. Υπάρχουν βάσιμες αμφιβολίες ότι ορισμένοι χρήστες μπορεί να χρειάζονται ένα ασφαλές κανάλι επικοινωνίας. Εάν πρέπει να προστατεύσετε τη διεύθυνση IP σας, τότε είναι καλύτερο να χρησιμοποιήσετε ανώνυμους διακομιστές μεσολάβησης στο Διαδίκτυο ή ανωνυμοποιητές για το σκοπό αυτό. Για τη διαλειτουργικότητα μεταξύ τοπικών δικτύων εμπορικών επιχειρήσεων και άλλων δομών, τότε η εγκατάσταση μιας σύνδεσης PPTP μπορεί να είναι μια εύκολη διέξοδος. Μια τέτοια σύνδεση, φυσικά, δεν θα παρέχει εκατό τοις εκατό ασφάλεια, αλλά υπάρχει κάποια κοινή λογική στη χρήση της.
Οι σήραγγες VPN είναι ένας κοινός τύπος επικοινωνίας από σημείο σε σημείο που βασίζεται σε μια τυπική σύνδεση στο Διαδίκτυο μέσω δρομολογητών MikroTik. Στην πραγματικότητα, είναι ένα "κανάλι μέσα σε ένα κανάλι" - μια αποκλειστική γραμμή εντός του κύριου.
Η ανάγκη εγκατάστασης μιας σύνδεσης σήραγγας VPN στο MikroTik προκύπτει όταν:
- Απαιτείται η παροχή πρόσβαση στο εταιρικό δίκτυο υπαλλήλους της επιχείρησηςπου εργάζονται από το σπίτι ή ενώ βρίσκονται σε επαγγελματικό ταξίδι, μεταξύ άλλων από κινητές συσκευές.
- Απαιτείται η παροχή Πρόσβαση στο Διαδίκτυο για συνδρομητές του παρόχου(Πρόσφατα, αυτή η υλοποίηση της πρόσβασης πελάτη έχει γίνει όλο και πιο δημοφιλής).
- Απαραίτητη συνδέστε δύο απομακρυσμένα τμήματα της επιχείρησηςασφαλές κανάλι επικοινωνίας με ελάχιστο κόστος.
Σε αντίθεση με ένα κανονικό δίκτυο, όπου τα δεδομένα μεταδίδονται ανοιχτά και μη κρυπτογραφημένα, ένα VPN είναι ένα ασφαλές κανάλι επικοινωνίας. Το επίπεδο προστασίας εξαρτάται από τον τύπο του πρωτοκόλλου σήραγγας που έχει επιλεγεί για τη σύνδεση.Έτσι, το πρωτόκολλο PPtP θεωρείται το λιγότερο ασφαλές, ακόμη και ο «ανώτερος» αλγόριθμος ελέγχου ταυτότητας του mschap2 έχει μια σειρά από προβλήματα ασφαλείας και παραβιάζεται εύκολα. Η σουίτα πρωτοκόλλου IPsec θεωρείται η πιο ασφαλής.
Παρά την κατακριτέα εικόνα, μερικές φορές εξακολουθεί να υπάρχει λόγος να απενεργοποιήσετε την κρυπτογράφηση και τον έλεγχο ταυτότητας. Πολλά μοντέλα MikroTik δεν υποστηρίζουν κρυπτογράφηση υλικού και όλες οι διαδικασίες που σχετίζονται με την ασφάλεια της σύνδεσης υποβάλλονται σε επεξεργασία σε επίπεδο CPU. Εάν η ασφάλεια της σύνδεσης δεν είναι ένα κρίσιμο σημείο για εσάς και η απόδοση του δρομολογητή που χρησιμοποιείτε αφήνει πολλά περιθώρια, τότε η απενεργοποίηση της κρυπτογράφησης μπορεί να χρησιμοποιηθεί για την εκφόρτωση του επεξεργαστή.
Επιλογή πρωτοκόλλου για VPN στο MikroTik
Για να ρυθμίσετε μια σύνδεση VPN μέσω MikroTik, χρησιμοποιούνται συχνότερα τα ακόλουθα πρωτόκολλα:
Στο σημερινό άρθρο, θα εξετάσουμε τη ρύθμιση μιας σύνδεσης VPN χρησιμοποιώντας δύο από αυτές, ως τις πιο συνηθισμένες στην εργασία του παρόχου και διαχειριστής συστήματοςΑ: PPtP και PPPoE. .
VPN μέσω PPtP στο MikroTik
Το PPtP είναι το πιο ευρέως χρησιμοποιούμενο πρωτόκολλο VPN. Είναι ένας συνδυασμός του πρωτοκόλλου TCP, το οποίο χρησιμοποιείται για τη μεταφορά δεδομένων, και του GRE - για την ενθυλάκωση πακέτων. Τις περισσότερες φορές χρησιμοποιείται για απομακρυσμένη πρόσβασηχρήστες στο εταιρικό δίκτυο. Κατ 'αρχήν, μπορεί να χρησιμοποιηθεί για πολλές εργασίες VPN, αλλά θα πρέπει να ληφθούν υπόψη τα ελαττώματα ασφαλείας του.
Εύκολο στη ρύθμιση. Για να οργανώσετε μια σήραγγα, χρειάζεστε:
δημιουργήστε έναν διακομιστή PPtP στο δρομολογητή MikroTik μέσω του οποίου οι χρήστες θα συνδέονται στο εταιρικό δίκτυο,
δημιουργία προφίλ χρήστη με στοιχεία σύνδεσης/κωδικούς πρόσβασης για αναγνώριση από την πλευρά του διακομιστή,
δημιουργήστε κανόνες εξαίρεσης τείχους προστασίας δρομολογητή, έτσι ώστε οι συνδέσεις να περνούν από το τείχος προστασίας ανεμπόδιστα.
Ενεργοποιήστε τον διακομιστή PPtP.
Για να το κάνετε αυτό, μεταβείτε στην ενότητα μενού ΣΔΙΤ, μεταβείτε στην καρτέλα Διεπαφή, στην κορυφή της λίστας των καρτελών που βρίσκουμε Διακομιστής PPTPκαι επιλέξτε το πλαίσιο Ενεργοποιημένο.
Καταργήστε την επιλογή των λιγότερο ασφαλών αλγορίθμων αναγνώρισης - παπ και κεφ.
Δημιουργούμε χρήστες.
Στο κεφάλαιο ΣΔΙΤμεταβείτε στο μενούΜυστικάκαι χρησιμοποιώντας το κουμπί+ "προσθήκη νέου χρήστη.
Στους τομείς ΟνομαΚαι Κωδικός πρόσβασηςορίζουμε, αντίστοιχα, το login και τον κωδικό πρόσβασης που θα χρησιμοποιήσει ο χρήστης για να συνδεθεί στο τούνελ.
Στο χωράφι Υπηρεσίαεπιλέξτε τον τύπο του πρωτοκόλλου μας - pppt, στο πεδίο Τοπική διεύθυνσηγράφουμε τη διεύθυνση IP του δρομολογητή MikroTik, ο οποίος θα λειτουργεί ως διακομιστής VPN, και στο πεδίο Απομακρυσμένη διεύθυνση - τη διεύθυνση IP του χρήστη
Γράφουμε τους κανόνες για Τείχος προστασίας.
Πρέπει να ανοίξουμε τη θύρα 1723 για κίνηση μέσω του πρωτοκόλλου TCP για να λειτουργήσει η σήραγγα MikroTik VPN και επίσης να επιτρέψουμε το πρωτόκολλο GRE. Για να το κάνετε αυτό, μεταβείτε στην ενότητα ip,τότε - μέσα τείχος προστασίας, μετά στην καρτέλα Κανόνες φίλτρου, όπου χρησιμοποιώντας το κουμπί "+" προσθέτουμε έναν νέο κανόνα. Στο χωράφι Αλυσίδακαθορίστε την εισερχόμενη κίνηση - εισαγωγή, στο χωράφι Πρωτόκολλοεπιλέξτε πρωτόκολλο tcp, και στο χωράφι Dst. Λιμάνι- καθορίστε τη θύρα για VPN σήραγγα 1723 .
Ας πάμε στην καρτέλα εδώ. δράσηκαι επιλέξτε αποδέχομαι- επιτρέπω (κυκλοφορία).
Ομοίως, προσθέτουμε έναν κανόνα για το GRE. Στην καρτέλα Γενικόςπαρόμοια με την προηγούμενη, γράφουμε είσοδο, και στο πεδίο Πρωτόκολλοεπιλέγω gre.
Στην καρτέλα δράσηόπως στον προηγούμενο κανόνα, επιλέξτε αποδέχομαι.
Μην ξεχάσετε να ανεβάσετε αυτούς τους κανόνες στη γενική λίστα στην κορυφή, βάζοντας ΠΡΙΝ από τους απαγορευτικούς κανόνες, διαφορετικά δεν θα λειτουργήσουν. Στο RouterOS Mikrotik, αυτό μπορεί να γίνει σύροντας κανόνες στο παράθυρο του Firewall.
Αυτό είναι όλο, ο διακομιστής PPtP για VPN στο MikroTik είναι έτοιμος.
Μικρή διευκρίνιση.
Σε ορισμένες περιπτώσεις, κατά τη σύνδεση πρέπει να δείτε το τοπικό δίκτυο πίσω από το δρομολογητή, πρέπει να ενεργοποιήσετε το proxy-arp στις ρυθμίσεις LAN. Για να το κάνετε αυτό, μεταβείτε στην ενότητα διεπαφής (Διασύνδεση), βρείτε τη διεπαφή που αντιστοιχεί στο τοπικό δίκτυο και στην καρτέλα Γενικόςστο χωράφι ARPεπιλέγω proxy-arp.
Εάν έχετε ρυθμίσει ένα VPN μεταξύ δύο δρομολογητών MikroTik και πρέπει να επιτρέψετε τη μετάδοση μετάδοσης, μπορείτε να δοκιμάσετε να προσθέσετε το υπάρχον προφίλ σύνδεσης (PPP - Προφίλ) του απομακρυσμένου δρομολογητή στην κύρια γέφυρα:
UPD από σχόλιο:Εάν χρειάζεται επιπλέον πρόσβαση σε κοινόχρηστους φακέλους σε υπολογιστές στο τοπικό δίκτυο, θα χρειαστεί επίσης να ανοίξετε τη θύρα 445 για τη διέλευση κίνησης πρωτοκόλλου SMB, η οποία είναι υπεύθυνη για το Windows Shared. (Ο κανόνας προώθησης στο τείχος προστασίας).
Ρύθμιση πελάτη .
Στην πλευρά του πελάτη VPN, οι ρυθμίσεις αφορούν μόνο τη δημιουργία σύνδεσης VPN, τον καθορισμό της διεύθυνσης IP του διακομιστή VPN (PPtP), του ονόματος χρήστη και του κωδικού πρόσβασης.
VPN μέσω PPPoE στο MikroTik
Πρόσφατα, το PPPOE VPN οφείλει τη δημοτικότητά του σε παρόχους που παρέχουν ευρυζωνική σύνδεση, συμπεριλαμβανομένης της ασύρματης πρόσβασης στο Διαδίκτυο. Το πρωτόκολλο αναλαμβάνει τη δυνατότητα συμπίεσης δεδομένων, κρυπτογράφησης και χαρακτηρίζεται επίσης από:
Διαθεσιμότητα και ευκολία εγκατάστασης.
Υποστηρίζεται από τους περισσότερους δρομολογητές MikroTik.
σταθερότητα.
επεκτασιμότητα.
Η αντίσταση της κρυπτογραφημένης κίνησης σε πλαστογράφηση ARP ( επίθεση δικτύουεκμετάλλευση τρωτών σημείων πρωτοκόλλου ARP).
Λιγότερη ένταση πόρων και φόρτος διακομιστή από το PPtP.
Επίσης, το πλεονέκτημά του είναι η δυνατότητα χρήσης δυναμικών διευθύνσεων IP: δεν χρειάζεται να εκχωρήσετε συγκεκριμένη IP στους τερματικούς κόμβους του τούνελ VPN. Η σύνδεση από την πλευρά του πελάτη πραγματοποιείται χωρίς περίπλοκες ρυθμίσεις, μόνο μέσω σύνδεσης και κωδικού πρόσβασης.
Ρύθμιση διακομιστή MikroTik PPPoE VPN
Ρύθμιση προφίλ διακομιστή.
Μπορεί να χρειαστούν πολλά προφίλ διακομιστή PPPoE εάν είστε πάροχος και διανέμετε το Διαδίκτυο για πολλά πακέτα τιμών. Αντίστοιχα, σε κάθε προφίλ, μπορείτε να διαμορφώσετε διαφορετικά όρια ταχύτητας.
Πάμε στην ενότητα ΣΔΙΤ, ανοιχτό αντικείμενοΠροφίλκαι χρησιμοποιώντας το κουμπί+ "Δημιουργήστε ένα νέο προφίλ. Δώστε του ένα όνομα που να μπορούμε να κατανοήσουμε, εισαγάγετε την τοπική διεύθυνση του διακομιστή (δρομολογητή), επιλέξτε την επιλογήΑλλαγή TCP MSS(Προσαρμογή MSS), ώστε όλοι οι ιστότοποι να ανοίγουν κανονικά.
Παρεμπιπτόντως, σε ορισμένες περιπτώσεις, όταν υπάρχουν προβλήματα με το άνοιγμα κάποιων τοποθεσιών, παρά το γεγονός ότι τα ping περνούν από αυτά, μπορείτε να το κάνετε διαφορετικά. Απενεργοποιούμε τη διόρθωση MSS και μέσω του τερματικού γράφουμε τον ακόλουθο κανόνα στο δρομολογητή:
"IP firewall mangle add chain=forward protocol=tcp tcp-flags=syn tcp-mss=1453-65535 action=change-mss new-mss=1360 disabled=no". Στις περισσότερες περιπτώσεις, αυτό λύνει το πρόβλημα.
Περαιτέρω στην καρτέλαΠρωτόκολλαΑπενεργοποιήστε τα πάντα για να βελτιώσετε την απόδοση. Εάν η ασφάλεια της σύνδεσης είναι σημαντική για εσάς και η απόδοση του δρομολογητή το επιτρέπει, τότε η επιλογήΧρησιμοποιήστε κρυπτογράφηση(χρησιμοποιήστε κρυπτογράφηση) μην απενεργοποιήσετε.
Στην καρτέλα Όριαορίστε όρια ταχύτητας εάν χρειάζεται. Το πρώτο ψηφίο στο όριο ταχύτητας είναι η εισερχόμενη κίνηση προς τον διακομιστή (εξερχόμενη από τον συνδρομητή), το δεύτερο είναι η εξερχόμενη κίνηση μας (εισερχόμενη από τον συνδρομητή).
Βάζουμε Ναίστο σημείο Μόνο ένα, αυτό σημαίνει ότι δύο ή περισσότεροι συνδρομητές με το ίδιο σύνολο σύνδεσης / κωδικού πρόσβασης δεν θα μπορούν να συνδεθούν στον διακομιστή PPPoE, μόνο ένας.
Τώρα, εάν είναι απαραίτητο, δημιουργήστε τα υπόλοιπα προφίλ απλή αντιγραφή(κουμπίαντίγραφοστο προηγούμενο στιγμιότυπο οθόνης) και αλλάξτε το όνομα και το όριο ταχύτητας.
Δημιουργία λογαριασμών χρηστών .
Στην ίδια ενότητα ΣΔΙΤβρείτε το στοιχείο μενούΜυστικά. Σε αυτό, χρησιμοποιώντας το κουμπί "+", δημιουργούμε έναν νέο χρήστη που θα συνδεθεί μαζί μας μέσω της σήραγγας VPN.
Συμπληρώστε τα πεδία Όνομα και Κωδικός πρόσβασης (σύνδεση και κωδικός πρόσβασης που θα εισάγει ο χρήστης από την πλευρά του για να συνδεθεί).
Στο χωράφι Υπηρεσίαεπιλέγω pppoe, V Προφίλ- το αντίστοιχο προφίλ, στην περίπτωση αυτή - το πακέτο τιμολόγησης που χρησιμοποιεί ο συνδρομητής. Εκχωρούμε στον χρήστη μια διεύθυνση IP, την οποία, όταν συνδεθεί, ο διακομιστής θα διανείμει στον συνδρομητή.
Εάν συνδέσουμε πολλούς χρήστες, δημιουργούμε έναν ξεχωριστό για καθέναν από αυτούς. λογαριασμόςαλλάζοντας το όνομα χρήστη/κωδικό πρόσβασης και τη διεύθυνση IP.
Συνδέουμε τον διακομιστή PPPoE σε μια συγκεκριμένη διεπαφή MikroTik.
Τώρα πρέπει να πούμε στον δρομολογητή σε ποια διεπαφή πρέπει να "ακούει" για εισερχόμενες συνδέσεις από πελάτες VPN PPPoE. Για να γίνει αυτό, στην ενότητα PPP, επιλέγουμε το στοιχείο Διακομιστές PPPoE. Εδώ αλλάζουμε:
Πεδίο διεπαφής - επιλέξτε τη διεπαφή στην οποία θα συνδεθούν οι πελάτες,
- Keepalive Timeout - 30 δευτερόλεπτα (χρόνος να περιμένετε μια απάντηση από τον πελάτη πριν αποσυνδεθείτε)
- Προεπιλεγμένο προφίλ - ένα προφίλ που θα εκχωρηθεί σε συνδεδεμένους συνδρομητές από προεπιλογή,
- Επιλέγουμε το πλαίσιο One Session Per Host, επιτρέποντας έτσι τη σύνδεση μόνο ενός τούνελ από τον δρομολογητή ή τον υπολογιστή του πελάτη.
- Αφήνουμε / αφαιρούμε τα σημάδια επιλογής στην ενότητα ελέγχου ταυτότητας κατά την κρίση μας.
Διαμορφώνουμε το NAT για πρόσβαση πελάτη στο Διαδίκτυο.
Ανεβάσαμε τον διακομιστή PPPoE και τώρα οι εξουσιοδοτημένοι χρήστες μπορούν να συνδεθούν σε αυτόν. Εάν χρειαζόμαστε χρήστες συνδεδεμένους μέσω VPN σήραγγας για να έχουν πρόσβαση στο Διαδίκτυο, πρέπει να διαμορφώσουμε το NAT (μεταμφίεση) ή τη μετάφραση διευθύνσεων τοπικού δικτύου.
Στο κεφάλαιο IPεπιλέξτε αντικείμενο τείχος προστασίαςκαι χρησιμοποιήστε το κουμπί "+" για να προσθέσετε έναν νέο κανόνα.
Στο χωράφι Αλυσίδαπρέπει να σταθεί srcnat, πράγμα που σημαίνει ότι ο δρομολογητής θα εφαρμόσει αυτόν τον κανόνα στην κίνηση που κατευθύνεται "μέσα προς τα έξω".
Στο χωράφι src. Διεύθυνση(διεύθυνση πηγής) ορίζει μια σειρά από διευθύνσεις 10.1.0.0/16 . Αυτό σημαίνει ότι όλοι οι πελάτες με διευθύνσεις 10.1. (0.0-255.255) θα έχει πρόσβαση στο δίκτυο μέσω NAT, δηλαδή παραθέτουμε όλους τους πιθανούς συνδρομητές εδώ.
Στο χωράφι Dst. Διεύθυνση(διεύθυνση προορισμού) προσδιορίστε!10.0.0.0/8 - εύρος διευθύνσεων, που σημαίνει δικός χώρος διευθύνσεων για ιδιωτικά δίκτυα, με θαυμαστικόεμπρός. Αυτό υποδεικνύει μια εξαίρεση στον δρομολογητή - εάν κάποιος από το τοπικό δίκτυο έχει πρόσβαση σε μια διεύθυνση στο δικό μας δίκτυο, τότε το NAT δεν εφαρμόζεται, η σύνδεση πραγματοποιείται απευθείας.
Και στην καρτέλα δράσηπροδιαγράφουν, μάλιστα, τη δράση μασκαρέματος – αντικατάστασης τοπική διεύθυνσησυσκευή στην εξωτερική διεύθυνση του δρομολογητή.
Ρύθμιση πελάτη PPPoE VPN
Εάν στην άλλη πλευρά της σήραγγας VPN η σύνδεση θα γίνει από υπολογιστή ή φορητό υπολογιστή, τότε απλά πρέπει να δημιουργήσετε μια σύνδεση υψηλής ταχύτητας μέσω PPPoE στο Κέντρο δικτύου και κοινής χρήσης (για Win 7, Win 8). Αν στη δεύτερη πλευρά υπάρχει και ρούτερ Mikrotik, τότε τον συνδέουμε ως εξής.
Προσθήκη διεπαφής PPPoE.
Στην καρτέλα Διεπαφήεπιλέξτε PPPoE Client και χρησιμοποιήστε το κουμπί "+" για να προσθέσετε μια νέα διεπαφή.
Εδώ στο χωράφι Διεπαφήεπιλέγουμε τη διεπαφή του δρομολογητή Mikrotik στην οποία οργανώνουμε το τούνελ VPN.
Γράφουμε τις ρυθμίσεις σύνδεσης.
Βάλτε ένα τικ στο κουτί Χρησιμοποιήστε Peer DNS- στη διεύθυνση διακομιστές DNSλάβαμε από τον διακομιστή VPN (από τον πάροχο) και δεν εγγραφήκαμε μη αυτόματα.
Οι ρυθμίσεις ελέγχου ταυτότητας (τικ στο pap, chap, mschap1, mschap2) πρέπει να συμφωνηθούν με τον διακομιστή.
δικτυακός τόπος
Κάντε κλικ στο κουμπί Έναρξη, επιλέξτε Πίνακας Ελέγχου
.jpg)
Επιλέξτε Κέντρο δικτύου και κοινής χρήσης
.jpg)
Επιλέξτε Δημιουργία νέας σύνδεσης ή δικτύου
.jpg)
Επιλέξτε μια επιλογή σύνδεσης Σύνδεση σε χώρο εργασίας
.jpg)
Όταν ρωτήθηκε από το σύστημα "Χρήση υπάρχουσας σύνδεσης;" απαντήστε Όχι, δημιουργήστε μια νέα σύνδεση
.jpg)
Στο επόμενο παράθυρο, επιλέξτε Χρήση της σύνδεσής μου στο Διαδίκτυο (VPN)
.jpg)
Εισαγάγετε τη διεύθυνση διακομιστή VPN (172.17.0.1) και το όνομα σύνδεσης (για παράδειγμα, Concourt-1)
.JPG)
Θυμόμαστε και εισάγουμε το login\password σας για στατιστικά. Επιλέξτε το πλαίσιο "Απομνημόνευση αυτού του κωδικού πρόσβασης".
Σημείωση:
η τρέχουσα σύνδεση/κωδικός πρόσβασης στο VPN ταιριάζει με τη σύνδεση/κωδικό πρόσβασης στα στατιστικά στοιχεία. Εάν αλλάξετε τον κωδικό πρόσβασης στη σελίδα συνδρομητή, τότε αυτό δεν θα αλλάξει τον κωδικό πρόσβασης για τη σύνδεση VPN!
.JPG)
Κάντε κλικ στο "Παράλειψη"
.JPG)
Ανοίξτε τις ιδιότητες της σύνδεσης που δημιουργήθηκε (στο παράδειγμα Concort-1) κάνοντας κλικ κάντε δεξί κλικποντίκια με σύνδεση.
.jpg)
Ρυθμίστε τις παραμέτρους σύμφωνα με την εικόνα
Φόρτωση...