จากที่ได้พิจารณาอย่างละเอียดในบทความที่แล้ว วิธียกระดับการเชื่อมต่อ VPN ของฝั่งเซิร์ฟเวอร์ แพลตฟอร์ม Windowsเราไปยังการตั้งค่าการเชื่อมต่อไคลเอนต์ PPTP ในการเริ่มต้น ฉันต้องการเตือนในกรณีที่โปรโตคอล PPTP ใช้สองเซสชันเครือข่าย: สำหรับการถ่ายโอนข้อมูล เซสชัน PPP ถูกสร้างขึ้นโดยใช้โปรโตคอล GRE และการเชื่อมต่อบนพอร์ต TCP 1723 สำหรับการเริ่มต้นและการจัดการการเชื่อมต่อ
ดังนั้นอย่าลืมสร้างกฎสำหรับ GRE คุณสามารถอ่านวิธีสร้างกฎดังกล่าวได้ในไฟร์วอลล์มาตรฐานหากคุณเชื่อมต่ออินเทอร์เน็ตโดยตรง หากคุณอยู่เบื้องหลังเราเตอร์ คุณสามารถอ่านได้ที่นี่
แต่เราได้อ่านทั้งหมดนี้แล้วเรารู้ ดังนั้นมาเริ่มตั้งค่าการเชื่อมต่อ VPN ไคลเอนต์ภายใต้ PPTP
ในการเริ่มต้นคุณต้องไปที่ แผงควบคุมใน Win7 สิ่งที่คุณต้องทำคือกด เริ่ม. และไปที่ แผงควบคุม. ถัดไปขึ้นอยู่กับการตั้งค่าการแสดงผล เราคลิก เครือข่ายและอินเทอร์เน็ต-> -> . หรือตรงไปที่ ศูนย์เครือข่ายและควบคุม การเข้าถึงสาธารณะ -> ตั้งค่าการเชื่อมต่อหรือเครือข่ายใหม่.
ตัวช่วยสร้างจะปรากฏขึ้น การติดตั้ง & การเชื่อมต่อ & เครือข่าย. เลือก การเชื่อมต่อกับที่ทำงาน
จากนั้นป้อนที่อยู่อินเทอร์เน็ต (ที่อยู่เซิร์ฟเวอร์) และชื่อการเชื่อมต่อที่จะสร้างดีที่สุด อนุญาตให้ผู้ใช้รายอื่นใช้การเชื่อมต่อนี้. นอกจากนี้ ในกรณีนี้ ฉันแนะนำให้คุณทำเครื่องหมายที่ช่อง Do not connect now เพราะเราจะกำหนดการตั้งค่า VPN ด้วยตนเอง
สร้างการเชื่อมต่อของเราสำเร็จแล้ว ตอนนี้คุณต้องกำหนดค่า ไปที่ส่วน เปลี่ยนการตั้งค่าอะแดปเตอร์ จากหน้าต่าง ศูนย์เครือข่ายและแบ่งปัน.
เรากำลังมองหาการเชื่อมต่อ VPN ที่นั่นและด้วยความช่วยเหลือของ RMB เราไปที่รายการเมนู คุณสมบัติ. บนแท็บ ความปลอดภัยในประเภท VPN ให้เลือก PPTP อันที่จริงนั่นคือทั้งหมด ไม่มีอะไรเพิ่มเติมในการกำหนดค่าในฝั่งไคลเอนต์ผ่านโปรโตคอล PPTP
1. สร้างอุโมงค์บนหน้าส่วนบุคคลของระบบ จากนั้น
2. ไปที่การตั้งค่า VPN ของระบบปฏิบัติการของคุณและสร้างการเชื่อมต่อใหม่
ระบุที่อยู่เซิร์ฟเวอร์ msk.site
บนแท็บ "ความปลอดภัย" เลือก - ประเภท VPN - PPTP
ตั้งค่าการเข้ารหัสเป็น "ทางเลือก"
การรับรองความถูกต้อง - CHAP MS-CHAP v2
3. ในแท็บการตั้งค่า IP ให้ยกเลิกการเลือก "ใช้เกตเวย์เริ่มต้นบนเครือข่ายระยะไกล"
4. หากคุณต้องการใช้บริการของเซิร์ฟเวอร์ WINS ของเรา คุณสามารถทำเครื่องหมายที่ "เปิดใช้งาน Netbios ผ่าน TCP/IP" (แต่สำหรับ การเชื่อมต่อที่เรียบง่ายอุโมงค์รายการนี้ไม่สำคัญ)
5. สร้างการเชื่อมต่อและตรวจสอบว่าที่อยู่ 172.16.0.1 ถูก ping จากนั้นตรวจสอบว่าคอมพิวเตอร์ของคุณทำงานโดยอัตโนมัติ (โดย โปรโตคอล DHCP) ได้รับเส้นทางที่จำเป็น:
172.16.0.0 255.255.0.0
เส้นทางที่นำไปสู่ระยะไกลของคุณ เครือข่ายภายในบ้าน 192.168.x.x 255.255.255.0 (ถ้ามี) .
เมื่อต้องการทำเช่นนี้ ให้เรียกใช้คำสั่ง พิมพ์เส้นทางบนคอมพิวเตอร์ของคุณ ในบรรดาเส้นทางควรระบุไว้ข้างต้น
PS: เพื่อต่อสู้กับเซสชันที่หยุดทำงาน เราบังคับปิดใช้งานอุโมงค์ผู้ใช้ด้วยโปรโตคอล PPTP, L2TP, L2TP/IPsec 24 ชั่วโมงหลังจากสร้างการเชื่อมต่อ ที่ การตั้งค่าที่ถูกต้องการเชื่อมต่อควรสร้างใหม่โดยอัตโนมัติ
หลายๆ คนคงเคยได้ยินคำว่า "การเชื่อมต่อ PPTP" กันมาบ้างแล้ว บางคนนึกไม่ออกด้วยซ้ำว่ามันคืออะไร อย่างไรก็ตามหาก ภาษาธรรมดาอธิบายหลักการของการสร้างการเชื่อมต่อตาม โปรโตคอลนี้มันไม่ยากที่จะเข้าใจพวกเขา
การเชื่อมต่อ PPTP คืออะไร?
การเชื่อมต่อ ประเภทนี้ขึ้นอยู่กับโปรโตคอลที่มีชื่อเดียวกัน ซึ่งชื่อนั้นมาจากโปรโตคอลภาษาอังกฤษแบบ point-to-pointtunneling ตามตัวอักษรสามารถแปลได้ว่า "โปรโตคอลอุโมงค์แบบจุดต่อจุด" นี่คือการเชื่อมต่อระหว่างสมาชิกสองคนโดยวิธีการส่งแพ็กเก็ตข้อมูลที่เข้ารหัสผ่านเครือข่ายที่ไม่ปลอดภัยตาม TCP / IP ประเภทการเชื่อมต่อ PPTP ทำให้สามารถแปลงเฟรม PPP ที่เรียกว่าเป็นแพ็กเก็ต IP มาตรฐานที่ส่งผ่าน อินเทอร์เน็ตเดียวกัน เชื่อกันว่าโปรโตคอล PPTP นั้นด้อยกว่าในแง่ของความปลอดภัยเมื่อเทียบกับตัวเลือกอื่นๆ เช่น IPSec อย่างไรก็ตามเรื่องนี้ค่อนข้างแพร่หลาย ในความเป็นจริง ผู้ใช้กำลังติดต่อกับหนึ่งในการเชื่อมต่อ VPN (การเชื่อมต่อไร้สาย) ที่หลากหลาย
เหตุใดจึงต้องใช้การเชื่อมต่อ PPTP
ขอบเขตของโปรโตคอล PPTP นั้นค่อนข้างกว้างขวาง ประการแรก เป็นที่น่าสังเกตว่าการเชื่อมต่อประเภทนี้ระหว่างผู้ใช้สองคนช่วยให้คุณสามารถปกป้องข้อมูลรวมทั้งประหยัดค่าโทรทางไกลได้อย่างมาก โปรโตคอล PPTP มักขาดไม่ได้ในการสื่อสารระหว่างเครือข่ายท้องถิ่นสองแห่งผ่านการส่งผ่านอินเทอร์เน็ตผ่านอุโมงค์หรือสายที่ปลอดภัยโดยไม่ต้องใช้การเชื่อมต่อโดยตรงระหว่างกัน ซึ่งหมายความว่าเครือข่ายท้องถิ่นสองเครือข่ายไม่มีการติดต่อโดยตรงและใช้อุโมงค์เป็นตัวกลาง ในทางกลับกัน สามารถใช้ Tunneling ตามโปรโตคอล PPTP เมื่อสร้างการเชื่อมต่อระหว่างไคลเอนต์กับเซิร์ฟเวอร์ ด้วยการเชื่อมต่อนี้ เทอร์มินัลผู้ใช้จะเชื่อมต่อกับเซิร์ฟเวอร์ผ่านช่องทางที่ปลอดภัย
การนำ PPTP ไปใช้กับระบบปฏิบัติการต่างๆ
ลองพูดนอกเรื่องเล็กน้อยและดูที่การเชื่อมต่อ PPTP จากอีกด้านหนึ่ง มีคนไม่กี่คนที่เข้าใจว่ามันคืออะไรตั้งแต่การพัฒนาโปรโตคอลนี้โดย Microsoft ในเวอร์ชันเต็มโปรโตคอลนี้ถูกนำมาใช้ครั้งแรกโดย Cisco แต่ผู้เชี่ยวชาญของ Microsoft ไม่ได้ล้าหลัง จากรุ่นปฏิบัติการ ระบบวินโดวส์ 95 OSR2 ความสามารถในการสร้างการเชื่อมต่อตามโปรโตคอล PPTP ปรากฏในผลิตภัณฑ์ซอฟต์แวร์รุ่นหลัง ๆ ในขณะที่พวกเขามีวิธีการกำหนดค่าเซิร์ฟเวอร์ PPTP ด้วย ตัวอย่างเช่น ต่อไปนี้จะพิจารณาการเชื่อมต่อ PPTP ใน ระบบปฏิบัติการ Windows 7 เป็นที่น่าสังเกตว่าทุกวันนี้ระบบปฏิบัติการนี้ถือว่าเป็นที่นิยมมากที่สุด จนกระทั่งเมื่อไม่นานมานี้ ระบบลีนุกซ์ไม่รองรับโปรโตคอล PPTP อย่างเต็มรูปแบบ ปรากฏในการแก้ไข 2.6.13 เท่านั้น การสนับสนุนสำหรับโปรโตคอลนี้ได้รับการประกาศอย่างเป็นทางการในเคอร์เนลเวอร์ชัน 2.6.14 ระบบปฏิบัติการ MacOSX และ FreeBSD มาพร้อมกับไคลเอนต์ PPTP ในตัว Palm PDA ที่รองรับระบบไร้สาย การเชื่อมต่อ WiFiพร้อมด้วยไคลเอนต์ Mergic เฉพาะ
เงื่อนไขสำหรับการเชื่อมต่อที่ถูกต้อง
ขั้นตอนการใช้การขุดอุโมงค์นั้นค่อนข้างเฉพาะเจาะจง การตั้งค่าการเชื่อมต่อ PPTP จะถือว่าใช้พอร์ต TCP 1723 รวมถึงโปรโตคอลบังคับ IPGRE หมายเลข 47 ดังนั้น ไฟร์วอลล์ (ถ้ามี) และไฟร์วอลล์ในตัวของระบบปฏิบัติการ Windows จะต้องได้รับการกำหนดค่าเพื่อให้แพ็กเก็ต IP สามารถ ผ่านได้อย่างอิสระโดยไม่มีข้อ จำกัด สิ่งนี้ไม่เพียงใช้กับเครื่องของผู้ใช้เท่านั้น แต่ยังรวมถึงเครือข่ายท้องถิ่นด้วย การส่งข้อมูลอุโมงค์ฟรีดังกล่าวควรได้รับการจัดเตรียมอย่างเท่าเทียมกันในระดับผู้ให้บริการ ที่ ใช้ NATในขั้นตอนกลางของการถ่ายโอนข้อมูล การประมวลผล VPN จะต้องได้รับการกำหนดค่าตามนั้น
พีพีทีพี: หลักการทั่วไปการเชื่อมต่อและการทำงาน
เราได้ครอบคลุมการเชื่อมต่อ PPTP ค่อนข้างสั้น หลายท่านคงเข้าใจอยู่แล้วว่ามันคืออะไร เพื่อให้เกิดความชัดเจนอย่างสมบูรณ์ในประเด็นนี้ ให้พิจารณาหลักการพื้นฐานของการทำงานของโปรโตคอลและการสื่อสารตามหลักการนั้น เราจะพิจารณาในรายละเอียดเกี่ยวกับกระบวนการสร้างการเชื่อมต่อ PPTPGRE การเชื่อมต่อระหว่างสองจุดถูกสร้างขึ้นบนพื้นฐานของเซสชัน PPP ปกติตามโปรโตคอล GRE (การห่อหุ้ม) การเชื่อมต่อที่สองทำโดยตรงบนพอร์ต TCP ซึ่งรับผิดชอบการเริ่มต้นและการควบคุม GRE แพ็กเก็ต IPX ที่ส่งประกอบด้วยข้อมูลโดยตรง บางครั้งเรียกว่า payload และข้อมูลการควบคุมเพิ่มเติม จะเกิดอะไรขึ้นที่ปลายอีกด้านของบรรทัดเมื่อได้รับแพ็กเก็ต โปรแกรมที่เกี่ยวข้องสำหรับการเชื่อมต่อ PPTP จะแยกข้อมูลที่มีอยู่ในแพ็กเก็ต IPX ตามเดิม และส่งเพื่อประมวลผลโดยใช้วิธีการที่สอดคล้องกับโปรโตคอลเนทีฟของระบบ นอกจากนี้ หนึ่งใน ส่วนประกอบที่สำคัญการส่งทันเนลและการรับข้อมูลพื้นฐานเป็นข้อกำหนดเบื้องต้นสำหรับการเข้าถึงโดยใช้ชุดค่าผสม "รหัสผ่านสำหรับเข้าสู่ระบบ" หากยังคงสามารถถอดรหัสรหัสผ่านและการเข้าสู่ระบบในขั้นตอนการรับได้ ก็จะเป็นไปไม่ได้ที่จะทำเช่นนี้ในกระบวนการส่งข้อมูลผ่านทางเดินหรืออุโมงค์ที่ปลอดภัย
ความปลอดภัยในการเชื่อมต่อ
ดังที่ได้กล่าวไว้ก่อนหน้านี้ Tunneling ตามโปรโตคอล PPTP นั้นไม่ปลอดภัยอย่างสมบูรณ์ในทุกด้าน เมื่อพิจารณาว่าการเข้ารหัสข้อมูลใช้เครื่องมือต่างๆ เช่น MSCHAP-v2, EAP-TLS หรือแม้แต่ MPEE เราสามารถพูดถึง ระดับสูงการป้องกัน ในบางกรณี เพื่อเพิ่มระดับความปลอดภัย สามารถใช้การโทรกลับ ซึ่งฝ่ายรับหรือฝ่ายส่งเชื่อมต่อและส่งข้อมูลโดยทางโปรแกรม
วิธีตั้งค่า PPTP โดยใช้ระบบปฏิบัติการ Windows 7 ของคุณเอง: ตัวเลือก อะแดปเตอร์เครือข่าย
บนระบบปฏิบัติการใดก็ได้ ตระกูล Windowsการตั้งค่าการเชื่อมต่อ PPTP นั้นค่อนข้างง่าย ดังที่ได้กล่าวไว้ก่อนหน้านี้เราจะพิจารณา Windows 7 เป็นตัวอย่าง ก่อนอื่นคุณต้องไปที่ "Network and Sharing Center" สามารถทำได้โดยใช้ "แผงควบคุม" หรือใช้เมนูที่เรียกว่าโดยคลิกขวาที่ไอคอนเครือข่ายหรือการเชื่อมต่ออินเทอร์เน็ต ทางด้านซ้ายของเมนูคือบรรทัดสำหรับเปลี่ยนการตั้งค่าอะแดปเตอร์เครือข่าย คุณต้องเปิดใช้งานและหลังจากนั้นให้คลิกขวาที่การเชื่อมต่อโดย เครือข่ายท้องถิ่นเรียก เมนูบริบทและเลือกรายการคุณสมบัติ ในหน้าต่างที่เปิดขึ้นคุณต้องใช้คุณสมบัติของโปรโตคอล TCP / IPv4 ในหน้าต่างการตั้งค่าคุณต้องระบุพารามิเตอร์ที่ผู้ให้บริการจัดเตรียมไว้เมื่อทำการเชื่อมต่อ ตามกฎแล้วจะมีการตั้งค่าการรับที่อยู่โดยอัตโนมัติสำหรับเซิร์ฟเวอร์ DNS และ IP คุณต้องบันทึกการเปลี่ยนแปลงที่เกิดขึ้นและกลับไปที่การเชื่อมต่อในพื้นที่ซึ่งคุณต้องตรวจสอบว่ามีการใช้งานอยู่หรือไม่ ช่วงเวลานี้เวลา. ในการทำเช่นนี้ให้ใช้ปุ่มเมาส์ขวา หากบรรทัดบนสุดระบุว่า "ตัดการเชื่อมต่อ" แสดงว่าการเชื่อมต่อทำงานอยู่ มิฉะนั้น คุณต้องเปิดใช้งาน
การสร้างและกำหนดค่า VPN
ขั้นตอนต่อไปคือการสร้างการเชื่อมต่อ VPN ในการทำเช่นนี้ ในส่วน "ศูนย์ควบคุม" ที่ด้านขวาของหน้าต่าง ให้ใช้บรรทัดสำหรับสร้างการเชื่อมต่อใหม่ หลังจากนั้น คุณต้องเลือกการเชื่อมต่อกับที่ทำงาน และหลังจากนั้น - การใช้การเชื่อมต่ออินเทอร์เน็ตที่มีอยู่ จากนั้น คุณต้องเลื่อนการตั้งค่าการเชื่อมต่ออินเทอร์เน็ต ในหน้าต่างถัดไป คุณต้องระบุที่อยู่อินเทอร์เน็ตของผู้ให้บริการ VPN และระบุชื่อตามอำเภอใจ ที่ด้านล่าง ตรวจสอบให้แน่ใจว่าได้ทำเครื่องหมายที่ช่องถัดจากบรรทัด "อย่าเชื่อมต่อตอนนี้" ในฟิลด์นี้ คุณต้องป้อนชื่อผู้ใช้และรหัสผ่านอีกครั้ง หากข้อตกลงการให้บริการกำหนดไว้ จากนั้นคลิกที่ปุ่ม "สร้าง" หลังจากนั้นให้เลือกจากรายการ การเชื่อมต่อที่มีอยู่เพิ่งสร้างและคลิกที่ปุ่มคุณสมบัติในหน้าต่างใหม่ ต่อไปคุณต้องดำเนินการอย่างระมัดระวัง คุณต้องติดตั้งบนแท็บความปลอดภัยโดยไม่ล้มเหลว ตัวเลือกต่อไปนี้:
- ประเภท VPN - อัตโนมัติ
- การเข้ารหัสข้อมูล - ทางเลือก;
— การอนุญาตโปรโตคอล: CHAP และ CHAP เวอร์ชัน 2
ตอนนี้คุณต้องยืนยันการเปลี่ยนแปลงและไปที่หน้าต่างการตั้งค่าการเชื่อมต่อซึ่งคุณต้องคลิกที่ปุ่มเชื่อมต่อ หากการตั้งค่าถูกต้อง คุณจะสามารถเชื่อมต่ออินเทอร์เน็ตได้ มันคุ้มไหมที่จะใช้เพื่อการนี้ ยูทิลิตี้ของบุคคลที่สาม? ผู้ใช้ตอบสนองต่อคำถามในการติดตั้งเซิร์ฟเวอร์หรือไคลเอนต์ PPTP เพิ่มเติมแตกต่างกัน อย่างไรก็ตาม ส่วนใหญ่ยอมรับว่าการตั้งค่าและการใช้โมดูล Windows ในตัวนั้นดีกว่าในแง่ของความเรียบง่าย แน่นอน คุณสามารถติดตั้งบางอย่าง เช่น แพ็คเกจ pfSense ซึ่งเป็นไฟร์วอลล์ของเราเตอร์ อย่างไรก็ตาม ไคลเอนต์ Multilink PPP Daemon "ดั้งเดิม" มีปัญหามากมายที่เกี่ยวข้องกับการใช้เซิร์ฟเวอร์ Windows ที่ใช้ PPTP ในแง่ของการกระจายการใช้โปรโตคอลการตรวจสอบความถูกต้องระหว่างเซิร์ฟเวอร์และไคลเอ็นต์ใน ระบบองค์กร. เป็นที่น่าสังเกตว่าไม่มีปัญหาดังกล่าวในเทอร์มินัลผู้ใช้ตามบ้าน ยูทิลิตีนี้ตั้งค่ายากกว่ามาก หากไม่ใช้ความรู้พิเศษ จะไม่สามารถระบุพารามิเตอร์ที่ถูกต้องหรือแก้ไข "การรวบรวม" ปกติของ IP ของผู้ใช้ได้ คุณสามารถลองใช้ยูทิลิตี้เซิร์ฟเวอร์หรือไคลเอนต์อื่น ๆ ที่ออกแบบมาเพื่อสร้างการเชื่อมต่อ PPTP แต่มันสมเหตุสมผลหรือไม่ที่จะโหลดระบบ โปรแกรมที่ไม่จำเป็นเนื่องจากระบบปฏิบัติการใด ๆ ของตระกูล Windows มีเครื่องมือของตัวเองเพื่อจุดประสงค์นี้? นอกจากนี้บาง ผลิตภัณฑ์ซอฟต์แวร์ในเรื่องนี้ กำหนดค่าได้ยากมากจนสามารถทำให้เกิดความขัดแย้งในระดับกายภาพและซอฟต์แวร์ได้ ดังนั้นจะเป็นการดีกว่าที่จะจำกัดตัวเองให้อยู่เฉพาะสิ่งที่เป็นอยู่
บทสรุป
นี่คือทั้งหมดที่เกี่ยวกับโปรโตคอล PPTP การสร้าง การกำหนดค่า และการใช้การเชื่อมต่ออุโมงค์ตามโปรโตคอล การใช้โปรโตคอลนี้สำหรับผู้ใช้ทั่วไปนั้นไม่สมเหตุสมผล มีข้อสงสัยที่ถูกต้องตามกฎหมายว่าผู้ใช้บางคนอาจต้องการช่องทางการสื่อสารที่ปลอดภัย หากคุณต้องการปกป้องที่อยู่ IP ของคุณ ควรใช้พร็อกซีเซิร์ฟเวอร์ที่ไม่ระบุตัวตนบนอินเทอร์เน็ตหรือผู้ไม่เปิดเผยตัวตนเพื่อจุดประสงค์นี้ สำหรับการทำงานร่วมกันระหว่างเครือข่ายท้องถิ่นขององค์กรการค้าและโครงสร้างอื่น ๆ การตั้งค่าการเชื่อมต่อ PPTP อาจเป็นวิธีที่ง่าย แน่นอนว่าการเชื่อมต่อดังกล่าวจะไม่ให้ความปลอดภัยร้อยเปอร์เซ็นต์ แต่มีสามัญสำนึกในการใช้งาน
อุโมงค์ VPN เป็นประเภททั่วไปของการสื่อสารแบบจุดต่อจุด โดยยึดตามการเชื่อมต่ออินเทอร์เน็ตมาตรฐานผ่านเราเตอร์ MikroTik แท้จริงแล้วคือ "ช่องภายในช่อง" ซึ่งเป็นสายเฉพาะภายในช่องหลัก
ความจำเป็นในการตั้งค่าการเชื่อมต่ออุโมงค์ VPN บน MikroTik เกิดขึ้นเมื่อ:
- จำเป็นต้องให้ เข้าถึงเครือข่ายองค์กร พนักงานขององค์กรที่ทำงานจากที่บ้านหรือระหว่างการเดินทางเพื่อธุรกิจ รวมถึงจากอุปกรณ์พกพา
- จำเป็นต้องให้ การเข้าถึงอินเทอร์เน็ตสำหรับสมาชิกของผู้ให้บริการ(เมื่อเร็ว ๆ นี้ การใช้การเข้าถึงไคลเอนต์นี้ได้รับความนิยมมากขึ้นเรื่อย ๆ )
- จำเป็น เชื่อมต่อหน่วยงานระยะไกลสองแห่งขององค์กรช่องทางการสื่อสารที่ปลอดภัยด้วยต้นทุนที่ต่ำที่สุด
VPN เป็นช่องทางการสื่อสารที่ปลอดภัย ไม่เหมือนกับเครือข่ายทั่วไปที่ข้อมูลจะถูกส่งอย่างเปิดเผยและไม่มีการเข้ารหัส ระดับการป้องกันขึ้นอยู่กับประเภทของโปรโตคอลทันเนลที่เลือกสำหรับการเชื่อมต่อดังนั้นโปรโตคอล PPtP จึงถือว่ามีความปลอดภัยน้อยที่สุด แม้แต่อัลกอริทึมการตรวจสอบสิทธิ์ "บน" ของ mschap2 ก็มีปัญหาด้านความปลอดภัยจำนวนหนึ่งและถูกแฮ็กได้ง่าย ชุดโปรโตคอล IPsec ถือว่าปลอดภัยที่สุด
แม้จะมีภาพที่น่าตำหนิ แต่บางครั้งก็ยังมีประเด็นในการปิดใช้งานการเข้ารหัสและการรับรองความถูกต้อง MikroTik หลายรุ่นไม่รองรับการเข้ารหัสฮาร์ดแวร์ และกระบวนการทั้งหมดที่เกี่ยวข้องกับความปลอดภัยในการเชื่อมต่อจะได้รับการประมวลผลที่ระดับ CPU หากความปลอดภัยของการเชื่อมต่อไม่ใช่จุดสำคัญสำหรับคุณ และประสิทธิภาพของเราเตอร์ที่คุณใช้ไม่เป็นที่ต้องการมากนัก การปิดใช้งานการเข้ารหัสสามารถใช้เพื่อลดโหลดโปรเซสเซอร์ได้
การเลือกโปรโตคอลสำหรับ VPN บน MikroTik
ในการตั้งค่าการเชื่อมต่อ VPN ผ่าน MikroTik มักใช้โปรโตคอลต่อไปนี้:
ในบทความของวันนี้เราจะพิจารณาการตั้งค่าการเชื่อมต่อ VPN โดยใช้สองรายการซึ่งเป็นวิธีที่พบได้บ่อยที่สุดในงานของผู้ให้บริการและ ผู้ดูแลระบบตอบ: PPtP และ PPPoE .
VPN ผ่าน PPtP บน MikroTik
PPtP เป็นโปรโตคอล VPN ที่ใช้กันอย่างแพร่หลาย เป็นการรวมกันของโปรโตคอล TCP ซึ่งใช้ในการถ่ายโอนข้อมูลและ GRE - เพื่อห่อหุ้มแพ็กเก็ต ส่วนใหญ่มักใช้สำหรับ การเข้าถึงระยะไกลผู้ใช้กับเครือข่ายองค์กร โดยหลักการแล้ว มันสามารถใช้กับงาน VPN ได้หลายอย่าง แต่ควรพิจารณาข้อบกพร่องด้านความปลอดภัยของมันด้วย
ตั้งค่าได้ง่าย ในการจัดระเบียบอุโมงค์ คุณต้อง:
สร้างเซิร์ฟเวอร์ PPtP บนเราเตอร์ MikroTik ซึ่งผู้ใช้จะเชื่อมต่อกับเครือข่ายองค์กร
สร้างโปรไฟล์ผู้ใช้ด้วยการเข้าสู่ระบบ/รหัสผ่านเพื่อระบุตัวตนในฝั่งเซิร์ฟเวอร์
สร้างกฎการยกเว้นไฟร์วอลล์ของเราเตอร์เพื่อให้การเชื่อมต่อผ่านไฟร์วอลล์ไม่ถูกจำกัด
เปิดเซิร์ฟเวอร์ PPtP
ในการทำเช่นนี้ไปที่ส่วนเมนู พรรคพลังประชาชนไปที่แท็บ อินเตอร์เฟซที่ด้านบนสุดของรายการแท็บที่เราพบ เซิร์ฟเวอร์ PPTPและทำเครื่องหมายที่ช่องเปิดใช้งาน
ยกเลิกการเลือกอัลกอริธึมการระบุตัวตนที่ปลอดภัยน้อยที่สุด - แปปและแชป
เราสร้างผู้ใช้
ในบท พรรคพลังประชาชนไปที่เมนูความลับและใช้ปุ่ม+ "เพิ่มผู้ใช้ใหม่
ในทุ่งนา ชื่อและ รหัสผ่านเรากำหนดล็อกอินและรหัสผ่านตามลำดับที่ผู้ใช้จะใช้เพื่อเชื่อมต่อกับอุโมงค์
ในสนาม บริการเลือกประเภทของโปรโตคอลของเรา - pptp ในฟิลด์ ที่อยู่ในท้องถิ่นเราเขียนที่อยู่ IP ของเราเตอร์ MikroTik ซึ่งจะทำหน้าที่เป็นเซิร์ฟเวอร์ VPN และในช่องที่อยู่ระยะไกล - ที่อยู่ IP ของผู้ใช้
เราเขียนกฎสำหรับ ไฟร์วอลล์
เราจำเป็นต้องเปิดพอร์ต 1723 สำหรับทราฟฟิกผ่านโปรโตคอล TCP เพื่อให้อุโมงค์ MikroTik VPN ทำงาน และอนุญาตให้ใช้โปรโตคอล GRE ในการทำเช่นนี้ไปที่ส่วน ไอพี,จากนั้น - ใน ไฟร์วอลล์จากนั้นไปที่แท็บ กฎการกรองที่ใช้ปุ่ม "+" เราจะเพิ่มกฎใหม่ ในสนาม โซ่ระบุทราฟฟิกขาเข้า - ป้อนข้อมูลในสนาม มาตรการเลือกโปรโตคอล ทีซีพีและในสนาม Dst. ท่าเรือ- ระบุพอร์ตสำหรับ อุโมงค์ VPN 1723 .
ไปที่แท็บที่นี่กันเถอะ การกระทำและเลือก ยอมรับ- อนุญาต (การจราจร)
ในทำนองเดียวกัน เราได้เพิ่มกฎสำหรับ GRE บนแท็บ ทั่วไปในทำนองเดียวกันกับก่อนหน้านี้ เราเขียนอินพุตและในฟิลด์ มาตรการเลือก เกร
บนแท็บ การกระทำตามกฎก่อนหน้านี้ เลือก ยอมรับ.
อย่าลืมที่จะยกกฎเหล่านี้ในรายการทั่วไปไว้ด้านบน วางก่อนกฎห้าม มิฉะนั้นจะไม่ทำงาน ใน RouterOS Mikrotik ทำได้โดยการลากกฎในหน้าต่าง FireWall
เพียงเท่านี้เซิร์ฟเวอร์ PPtP สำหรับ VPN บน MikroTik ก็พร้อมใช้งานแล้ว
คำชี้แจงเล็กน้อย
ในบางกรณีเมื่อเชื่อมต่อ คุณต้องเห็นเครือข่ายท้องถิ่นหลังเราเตอร์คุณต้องเปิดใช้งาน proxy-arp ในการตั้งค่า LAN ในการทำเช่นนี้ไปที่ส่วนอินเทอร์เฟซ (อินเทอร์เฟซ) ค้นหาอินเทอร์เฟซที่ตรงกับเครือข่ายท้องถิ่นและบนแท็บ ทั่วไปในสนาม ร.ฟ.ทเลือก proxy-arp.
หากคุณได้ตั้งค่า VPN ระหว่างเราเตอร์ MikroTik สองตัว และคุณจำเป็นต้องอนุญาตการส่งสัญญาณ คุณสามารถลองเพิ่มโปรไฟล์การเชื่อมต่อที่มีอยู่ (PPP - Profiles) ของเราเตอร์ระยะไกลไปยังบริดจ์หลัก:
UPD จากความคิดเห็น:หากคุณต้องการเข้าถึงโฟลเดอร์ที่ใช้ร่วมกันเพิ่มเติมบนคอมพิวเตอร์บนเครือข่ายท้องถิ่น คุณจะต้องเปิดพอร์ต 445 เพื่อส่งผ่านการรับส่งข้อมูลโปรโตคอล SMB ซึ่งรับผิดชอบ Windows ที่ใช้ร่วมกัน (กฎการส่งต่อในไฟร์วอลล์)
การตั้งค่าไคลเอนต์ .
ในฝั่งไคลเอนต์ VPN การตั้งค่าเป็นเพียงการสร้างการเชื่อมต่อ VPN ระบุที่อยู่ IP ของเซิร์ฟเวอร์ VPN (PPtP) ชื่อผู้ใช้และรหัสผ่าน
VPN ผ่าน PPPoE บน MikroTik
เมื่อเร็ว ๆ นี้ PPPOE VPN ได้รับความนิยมจากผู้ให้บริการที่ให้บริการบรอดแบนด์ รวมถึงการเข้าถึงอินเทอร์เน็ตไร้สาย โปรโตคอลสันนิษฐานถึงความเป็นไปได้ของการบีบอัดข้อมูล การเข้ารหัส และยังมีลักษณะดังนี้:
ความพร้อมใช้งานและความสะดวกในการติดตั้ง
รองรับโดยเราเตอร์ MikroTik ส่วนใหญ่
ความมั่นคง
ความสามารถในการปรับขนาด
ความต้านทานของการรับส่งข้อมูลที่เข้ารหัสต่อการปลอมแปลง ARP ( การโจมตีเครือข่ายใช้ประโยชน์จากช่องโหว่ของโปรโตคอล ARP)
ใช้ทรัพยากรและโหลดเซิร์ฟเวอร์น้อยกว่า PPtP
นอกจากนี้ ข้อดีของมันคือความสามารถในการใช้ที่อยู่ IP แบบไดนามิก: คุณไม่จำเป็นต้องกำหนด IP เฉพาะให้กับโหนดปลายทางของอุโมงค์ VPN การเชื่อมต่อจากฝั่งไคลเอ็นต์ดำเนินการโดยไม่มีการตั้งค่าที่ซับซ้อน เพียงเข้าสู่ระบบและรหัสผ่านเท่านั้น
การตั้งค่าเซิร์ฟเวอร์ MikroTik PPPoE VPN
ตั้งค่าโปรไฟล์เซิร์ฟเวอร์
อาจต้องใช้โปรไฟล์เซิร์ฟเวอร์ PPPoE หลายโปรไฟล์หากคุณเป็นผู้ให้บริการและแจกจ่ายอินเทอร์เน็ตสำหรับแพ็คเกจภาษีหลายรายการ ดังนั้น ในแต่ละโปรไฟล์ คุณสามารถกำหนดค่าการจำกัดความเร็วที่แตกต่างกันได้
ไปที่ส่วน พรรคพลังประชาชน, รายการเปิดโปรไฟล์และใช้ปุ่ม+ "สร้างโปรไฟล์ใหม่ ตั้งชื่อที่เราเข้าใจ ป้อนที่อยู่ภายในเครื่องของเซิร์ฟเวอร์ (เราเตอร์) ตรวจสอบตัวเลือกเปลี่ยน TCP MSS(ปรับ MSS) เพื่อให้ทุกเว็บไซต์เปิดได้ตามปกติ
อย่างไรก็ตาม ในบางกรณี เมื่อมีปัญหาในการเปิดเว็บไซต์บางแห่ง แม้จะมีความจริงที่ว่า ping ผ่านพวกเขา คุณสามารถทำได้ต่างออกไป เราปิดการแก้ไข MSS และเขียนกฎต่อไปนี้บนเราเตอร์ผ่านเทอร์มินัล:
"ไฟร์วอลล์ ip ยุ่งเหยิงเพิ่ม chain=forward protocol=tcp tcp-flags=syn tcp-mss=1453-65535 action=change-mss new-mss=1360 modified=no" ในกรณีส่วนใหญ่ วิธีนี้จะแก้ปัญหาได้
เพิ่มเติมบนแท็บโปรโตคอลปิดการใช้งานทุกอย่างเพื่อปรับปรุงประสิทธิภาพ หากความปลอดภัยของการเชื่อมต่อมีความสำคัญต่อคุณและประสิทธิภาพของเราเตอร์อนุญาต ตัวเลือกนั้นใช้การเข้ารหัส(ใช้การเข้ารหัส) ไม่ปิดการใช้งาน
บนแท็บ ขีด จำกัดตั้งขีดจำกัดความเร็วหากจำเป็น ตัวเลขตัวแรกในการจำกัดความเร็วคือทราฟฟิกขาเข้าไปยังเซิร์ฟเวอร์ (ขาออกจากสมาชิก) ตัวเลขที่สองคือทราฟฟิกขาออกของเรา (มาจากสมาชิก)
เราใส่ ใช่ในประเด็น เพียงหนึ่งเดียวซึ่งหมายความว่าสมาชิกสองคนขึ้นไปที่มีชุดการเข้าสู่ระบบ / รหัสผ่านเดียวกันจะไม่สามารถเชื่อมต่อกับเซิร์ฟเวอร์ PPPoE ได้เพียงเครื่องเดียวเท่านั้น
ตอนนี้ ถ้าจำเป็น ให้สร้างโปรไฟล์ที่เหลือ การคัดลอกอย่างง่าย(ปุ่มสำเนาในภาพหน้าจอก่อนหน้า) และเปลี่ยนชื่อและจำกัดความเร็ว
การสร้างบัญชีผู้ใช้ .
ในส่วนเดียวกัน พรรคพลังประชาชนค้นหารายการเมนูความลับ. ในนั้นใช้ปุ่ม "+" เราสร้างผู้ใช้ใหม่ที่จะเชื่อมต่อกับเราผ่านอุโมงค์ VPN
กรอกช่องชื่อและรหัสผ่าน (ชื่อผู้ใช้และรหัสผ่านที่ผู้ใช้จะป้อนจากด้านข้างเพื่อเชื่อมต่อ)
ในสนาม บริการเลือก ปปปป, วี ประวัติโดยย่อ- โปรไฟล์ที่เกี่ยวข้องในกรณีนี้ - แพ็คเกจภาษีที่สมาชิกใช้ เรากำหนดที่อยู่ IP ให้กับผู้ใช้ซึ่งเมื่อเชื่อมต่อแล้วเซิร์ฟเวอร์จะแจกจ่ายให้กับผู้สมัครสมาชิก
หากเราเชื่อมต่อผู้ใช้หลายคน เราจะสร้างผู้ใช้แยกต่างหากสำหรับแต่ละคน บัญชีโดยเปลี่ยนชื่อผู้ใช้ / รหัสผ่านและที่อยู่ IP
เราผูกเซิร์ฟเวอร์ PPPoE กับอินเทอร์เฟซ MikroTik เฉพาะ
ตอนนี้เราต้องบอกเราเตอร์ว่าควร "ฟัง" อินเทอร์เฟซใดสำหรับการเชื่อมต่อขาเข้าจากไคลเอนต์ VPN PPPoE ในการทำเช่นนี้ ในส่วน PPP เราเลือกรายการ PPPoE Servers ที่นี่เราเปลี่ยน:
ฟิลด์อินเทอร์เฟซ - เลือกอินเทอร์เฟซที่ลูกค้าจะเชื่อมต่อ
- Keepalive Timeout - 30 วินาที (เวลารอการตอบกลับจากไคลเอนต์ก่อนตัดการเชื่อมต่อ)
- โปรไฟล์เริ่มต้น - โปรไฟล์ที่จะกำหนดให้กับสมาชิกที่เชื่อมต่อตามค่าเริ่มต้น
- เราทำเครื่องหมายที่ช่อง One Session Per Host ซึ่งจะช่วยให้สามารถเชื่อมต่อเพียงช่องทางเดียวจากเราเตอร์หรือคอมพิวเตอร์ของลูกค้า
- เราเว้น / ลบเครื่องหมายถูกในส่วนการรับรองความถูกต้องตามดุลยพินิจของเรา
เรากำหนดค่า NAT สำหรับการเข้าถึงอินเทอร์เน็ตของไคลเอ็นต์
เราได้ยกระดับเซิร์ฟเวอร์ PPPoE และตอนนี้ผู้ใช้ที่ได้รับอนุญาตสามารถเชื่อมต่อได้ หากเราต้องการให้ผู้ใช้เชื่อมต่อผ่านอุโมงค์ VPN เพื่อเข้าถึงอินเทอร์เน็ต เราจำเป็นต้องกำหนดค่า NAT (การปลอมแปลง) หรือการแปลที่อยู่เครือข่ายท้องถิ่น
ในบท ไอพีเลือกรายการ ไฟร์วอลล์และใช้ปุ่ม "+" เพื่อเพิ่มกฎใหม่
ในสนาม โซ่ควรยืน srcnatซึ่งหมายความว่าเราเตอร์จะใช้กฎนี้กับการรับส่งข้อมูลโดยตรงจากภายนอก
ในสนาม src. ที่อยู่(ที่อยู่ต้นทาง) กำหนดช่วงของที่อยู่ 10.1.0.0/16 . ซึ่งหมายความว่าลูกค้าทั้งหมดที่มีที่อยู่ 10.1. (0.0-255.255) จะเข้าถึงเครือข่ายผ่าน NAT นั่นคือ เราแสดงรายการสมาชิกที่เป็นไปได้ทั้งหมดที่นี่
ในสนาม Dst. ที่อยู่(ที่อยู่ปลายทาง) ระบุ!10.0.0.0/8 - ช่วงที่อยู่ หมายถึงพื้นที่ที่อยู่ของตัวเองสำหรับเครือข่ายส่วนตัวด้วย เครื่องหมายอัศเจรีย์ข้างหน้า. สิ่งนี้บ่งชี้ถึงข้อยกเว้นสำหรับเราเตอร์ - หากมีคนจากเครือข่ายท้องถิ่นเข้าถึงที่อยู่ในเครือข่ายของเราเอง NAT จะไม่ถูกนำไปใช้ การเชื่อมต่อจะเกิดขึ้นโดยตรง
และบนแท็บ การกระทำกำหนดในความเป็นจริงการกระทำของการปลอมตัว - การทดแทน ที่อยู่ในท้องถิ่นอุปกรณ์ไปยังที่อยู่ภายนอกของเราเตอร์
การตั้งค่าไคลเอ็นต์ PPPoE VPN
หากในอีกด้านหนึ่งของอุโมงค์ VPN การเชื่อมต่อจะทำจากคอมพิวเตอร์หรือแล็ปท็อป คุณเพียงแค่ต้องสร้างการเชื่อมต่อความเร็วสูงผ่าน PPPoE ใน Network and Sharing Center (สำหรับ Win 7, Win 8) หากในด้านที่สองมีเราเตอร์ Mikrotik ด้วยเราจะเชื่อมต่อดังนี้
เพิ่มอินเทอร์เฟซ PPPoE
บนแท็บ อินเตอร์เฟซเลือก PPPoE Client และใช้ปุ่ม "+" เพื่อเพิ่มอินเทอร์เฟซใหม่
ที่นี่ในสนาม อินเตอร์เฟซเราเลือกอินเทอร์เฟซของเราเตอร์ Mikrotik ที่เราจัดระเบียบอุโมงค์ VPN
เราเขียนการตั้งค่าการเชื่อมต่อ
ใส่เครื่องหมายถูกลงในช่อง ใช้ Peer DNS- ไปยังที่อยู่ เซิร์ฟเวอร์ DNSเราได้รับจากเซิร์ฟเวอร์ VPN (จากผู้ให้บริการ) และไม่ได้ลงทะเบียนด้วยตนเอง
การตั้งค่าการรับรองความถูกต้อง (ติ๊กใน pap, chap, mschap1, mschap2) ต้องตกลงกับเซิร์ฟเวอร์
เว็บไซต์
คลิกปุ่มเริ่ม เลือกแผงควบคุม
.jpg)
เลือกเครือข่ายและศูนย์แบ่งปัน
.jpg)
เลือกสร้างการเชื่อมต่อหรือเครือข่ายใหม่
.jpg)
เลือกตัวเลือกการเชื่อมต่อ เชื่อมต่อกับที่ทำงาน
.jpg)
เมื่อระบบถามว่า "ใช้การเชื่อมต่อที่มีอยู่หรือไม่" ตอบ ไม่ สร้างการเชื่อมต่อใหม่
.jpg)
ในหน้าต่างถัดไป เลือก ใช้การเชื่อมต่ออินเทอร์เน็ตของฉัน (VPN)
.jpg)
ป้อนที่อยู่เซิร์ฟเวอร์ VPN (172.17.0.1) และชื่อการเชื่อมต่อ (เช่น Concourt-1)
.JPG)
เราจำและป้อนล็อกอิน\รหัสผ่านของคุณสำหรับสถิติ ทำเครื่องหมายที่ช่อง "จดจำรหัสผ่านนี้"
บันทึก:
ล็อกอิน/รหัสผ่านบน VPN ตรงกับล็อกอิน/รหัสผ่านของคุณในสถิติ หากคุณเปลี่ยนรหัสผ่านในหน้าสมาชิก การดำเนินการนี้จะไม่เปลี่ยนรหัสผ่านสำหรับการเชื่อมต่อ VPN!
.JPG)
คลิก "ข้าม"
.JPG)
เปิดคุณสมบัติของการเชื่อมต่อที่สร้างขึ้น (ในตัวอย่าง Concort-1) โดยคลิก คลิกขวาหนูโดยการเชื่อมต่อ
.jpg)
ตั้งค่าพารามิเตอร์ตามภาพ
กำลังโหลด...