Настройка PPTP (VPN) сервера на Mikrotik

Сначала опишу первый простой вариант настройки PPTP (VPN) сервера на Mikrotik через web-интерфейс или Winbox. В этом варианте к серверу может подключаться только один клиент.
1) Активируем сервер открыв меню «PPP» -> «PPTP Server» -> где поставим галочку «Enabled«.
2) Добавим параметры подключения к серверу, для этого откроем «PPP» -> «Secrets» и добавим:
Name: логин
Password: пароль
Service: pptp
Local Address: внутренний IP роутера, например 192.168.88.1
Remote Address: IP который будет назначен клиенту, например 192.168.88.2
жмем OK.
3) Добавим правило в фаервол чтобы можно было подключатся к серверу из вне, для этого откроем меню «IP» -> «Firewall» и во вкладке «Filter Rules» добавим правило:
Chain: input
Dst. Address: внешний IP роутера
Protocol: tcp
Dst. Port: 1723
In. Interface: WAN порт роутера, например ether1-gateway
Action: accept
жмем OK, на этом простая настройки завершена.

 

Теперь опишу вариант настройки из командной строки. К серверу может подключатся много клиентов и они будут получать IP по DHCP.

Включение pptp сервера:

interface pptp-server server set enabled=yes

Просмотр параметров pptp сервера:

interface pptp-server server print

Добавление интерфейса pptp сервера:

interface pptp-server server add add name=pptpserver user=пользователь

Установка пула адресов которые будут выдаваться подключившимся пользователям:

ip pool add name="pptp-pool" ranges=172.20.1.10/28

Добавление профиля для pptp сервера:

ppp profile add name="pptp" local-address=172.20.1.11 remote-address=pptp-pool use-compression=no use-vj-compression=no use-encryption=default only-one=default change-tcp-mss=yes

Добавление данных для аутентификации:

ppp secret add name="пользователь" service=pptp caller-id="" password="пароль" profile=pptp

Также необходимо разрешить трафик по протоколу TCP на порт 1723 из вне и разрешить протокол GRE.
Для этого добавляем первое правило, chain = input, protocol = tcp, Dst.Port = 1723, action = accept.
И второе, chain = input, protocol = gre, action = accept.
Эти два правила необходимо разметить перед стандартными запрещающими правилами, иначе они не будут работать.

В параметрах созданного VPN соединения в Windows необходимо выбрать тип PPTP и шифрование «необязательно, подключатся даже без шифрования».

Немного полезной информации:
PAP (Password Authentication Protocol) — протокол проверки подлинности, проверяет имя и пароль.
CHAP (Challenge Handshake Authentication Protocol) — широко распространённый протокол, в котором серверу передается не пароль пользователя, а косвенные сведения о нём.
MS-CHAP (Microsoft Challenge Handshake Authentication Protocol) — протокол от Microsoft для проверки подлинности удалённых компьютеров.

Настройка PPTP (VPN) сервера на Mikrotik: 3 комментария

  1. Настроил по этой статье, но есть проблема. VPN поднялся, с винды в сеть за vpn попадаю без проблем, а с микротика ping на винду не проходит (т.е. пинг с виды на адрес192.168.88.1 — идет, а с микротика на адрес 192.168.88.2 — нет). Не подскажите, в чем проблема?

    1. Скорее всего у вас на компьютере блокируются пинг стандартным брандмауэром или антивирусом. На тесте только что проверил эту инструкцию — пинг идет.

  2. Забыли написать как открыть доступ в локалку с клиента pptp, обычно всё делается именно для этого

    загоняем pptp в бридж (ppp-profiles, default)
    пользователю в sekrets добавляем профиль default
    пишем правило
    соурс 192.168.0.0/24
    в интерфейс pptpin

    я инет не настраивал, мне только доступ в сеть надо :)

Добавить комментарий