Сначала опишу первый простой вариант настройки PPTP (VPN) сервера на Mikrotik через web-интерфейс или Winbox. В этом варианте к серверу может подключаться только один клиент.
1) Активируем сервер открыв меню «PPP» — «PPTP Server«, где поставим галочку «Enabled«.
2) Добавим параметры подключения к серверу, для этого откроем «PPP» — «Secrets» и добавим:
Name: USERNAME
Password: PASSWORD
Service: pptp
Local Address: внутренний IP роутера, например 192.168.88.1
Remote Address: IP который будет назначен клиенту, например 192.168.88.2
жмем OK.
3) Добавим правило в фаервол чтобы можно было подключаться к серверу из вне, для этого откроем меню «IP» — «Firewall» и во вкладке «Filter Rules» добавим правило:
Chain: input
Dst. Address: внешний IP адрес роутера
Protocol: tcp
Dst. Port: 1723
In. Interface: WAN порт роутера, например ether1-gateway
Action: accept
жмем OK, на этом простая настройки завершена.
Теперь опишу вариант настройки из командной строки. К серверу может подключаться много клиентов и они будут получать IP адреса по DHCP.
Включение pptp сервера:
interface pptp-server server set enabled=yes
Просмотр параметров pptp сервера:
interface pptp-server server print
Добавление интерфейса pptp сервера:
interface pptp-server server add add name=pptpserver user=USERNAME
Установка пула адресов которые будут выдаваться подключившимся пользователям:
ip pool add name="pptp-pool" ranges=172.20.1.10/28
Добавление профиля для pptp сервера:
ppp profile add name="pptp" local-address=172.20.1.11 remote-address=pptp-pool use-compression=no use-vj-compression=no use-encryption=default only-one=default change-tcp-mss=yes
Добавление данных для аутентификации:
ppp secret add name="USERNAME" service=pptp caller-id="" password="PASSWORD" profile=pptp
Также необходимо разрешить трафик по протоколу TCP на порт 1723 из вне и разрешить протокол GRE.
Для этого добавляем первое правило, chain = input, protocol = tcp, Dst.Port = 1723, action = accept.
И второе, chain = input, protocol = gre, action = accept.
Эти два правила необходимо разместить перед стандартными запрещающими правилами, иначе они не будут работать.
В параметрах созданного VPN соединения в Windows необходимо выбрать тип PPTP и шифрование «необязательно, подключаться даже без шифрования».
Немного полезной информации:
PAP (Password Authentication Protocol) — протокол проверки подлинности, проверяет имя и пароль.
CHAP (Challenge Handshake Authentication Protocol) — широко распространённый протокол, в котором серверу передается не пароль пользователя, а косвенные сведения о нём.
MS-CHAP (Microsoft Challenge Handshake Authentication Protocol) — протокол от Microsoft для проверки подлинности удалённых компьютеров.
Смотрите также мои статьи:
Настройка VPN IPSec/L2TP сервера на Mikrotik
Установка и настройка PPTPd сервера
Настройка VPN-сервера в Windows Server
Как ограничить подключение к pptp только с определенных 2-х ip адресов ?
Попробуйте указать их в Src. Address
Я правильно понял?
Содаем 2 правила с указаниями ip в Src. Address на протокол 47 (gre)
и 3 правило ниже, блочим все подключения к 47 (gre) без указания ip.
Или лучше на порт 1723 такое правило делать ?
Dst. Address: внешний IP роутера, а как быть если IP динамический, пробывал вписывать доменное имя, но микротик преабразовывает его в IP адрес на текущий момент времени, но когда IP адрес меняется в настройках остается старый адрес, и ничего не работает, как быть в такой ситуации?
Попробуйте добавить правило без указания Dst. Address
Забыли написать как открыть доступ в локалку с клиента pptp, обычно всё делается именно для этого
загоняем pptp в бридж (ppp-profiles, default)
пользователю в sekrets добавляем профиль default
пишем правило
соурс 192.168.0.0/24
в интерфейс pptpin
я инет не настраивал, мне только доступ в сеть надо :)
Настроил по этой статье, но есть проблема. VPN поднялся, с винды в сеть за vpn попадаю без проблем, а с микротика ping на винду не проходит (т.е. пинг с виды на адрес192.168.88.1 — идет, а с микротика на адрес 192.168.88.2 — нет). Не подскажите, в чем проблема?
Скорее всего у вас на компьютере блокируются пинг стандартным брандмауэром или антивирусом. На тесте только что проверил эту инструкцию — пинг идет.