Итак в первой части мы настроили роутер с Mikrotik RouterOS на борту таким образом чтобы он выпускал компьютеры из двух локальных сетей в интернет, и защитили его от вторжений извне.
Сейчас же настроим на нем VPN сервер и опубликуем некоторые сервисы в Интернете.
Настраивать будем PPTP VPN для полной совместимости со стандартным PPTP клиентом в ОС WINDOWS. Пускать удаленного пользователя по VPN будем в сеть 192.168.0.0/24
Настройка весьма проста, добавляем пользователя
[admin@RemoteOffice] /ppp secret> add name=remote_user service=pptp password=mypassword
local-address=192.168.0.1 remote-address=192.168.0.100
[admin@RemoteOffice] /ppp secret> print detail
Flags: X - disabled
0 name="remote_user" service=pptp caller-id="" password="mypassword" profile=default
local-address=192.168.0.1 remote-address=192.168.0.100 routes==""
[admin@RemoteOffice] /ppp secret>
И делаем PPTP сервер на роутере enabled
[admin@RemoteOffice] /interface pptp-server server> set enabled=yes
[admin@RemoteOffice] /interface pptp-server server> print
enabled: yes
max-mtu: 1460
max-mru: 1460
mrru: disabled
authentication: mschap2
keepalive-timeout: 30
default-profile: default
[admin@RemoteOffice] /interface pptp-server server>
Теперь чтобы файрволл пропускал удаленного пользователя в локальную сеть пишем правило
/ip firewall add chain=input action=accept in-interface=pptp-in
VPN настроен.
Теперь публикуем некоторые сервисы в интернет. На простых роутерах это называется virtual servers. Также часто можно услышать вопрос "как открыть порт?" Этим открытием портов и займемся.
Допустим в сети 192.168.0.0 есть сервер с адресом 192.168.0.50 на котором работает некая программа, к которой надо подключится извне на порт 5000. Делаем переадресацию входящих запросов приходящих на маршрутизатор на реальные адреса на этот компьютер на внутренний адрес.
ip firewall nat add chain=dstnat action=dst-nat in-interface=wan protocol=tcp dst-port=5000 to-address=192.168.0.50 to-ports=5000
Разрешаем прохождение пакетов через маршрутизатор адресованных нашему серверу:
ip firewall filter add chain forward in-interface=wan protocol=tcp dst-port=5000 dst-address=192.168.0.50 action=accept comment="wan to server"
Теперь проверяем все наши правила файрволла. Последние правила, которые мы добавляли оказались ниже чем запрещающее правило ip firewall filter add chain input action=drop comment="All other inputs drop", следовательно пакеты ходить не будут. Есть 2 выхода: либо с помощью команды"ip firewall filter move X Y" (перемещает правило с позиции X на Y) передвинуть запрещающее правило в самый низ (посмотрев позиции правил с помощью "ip firewall filter print"), либо удалить запрещающее правило и создать заново.
В ходе написания материала очень помогали следующие ресурсы:
Блог "Папы Админа"
Официальная Wiki
Блог Сергея Лаговского
Сейчас же настроим на нем VPN сервер и опубликуем некоторые сервисы в Интернете.
Настраивать будем PPTP VPN для полной совместимости со стандартным PPTP клиентом в ОС WINDOWS. Пускать удаленного пользователя по VPN будем в сеть 192.168.0.0/24
Настройка весьма проста, добавляем пользователя
[admin@RemoteOffice] /ppp secret> add name=remote_user service=pptp password=mypassword
local-address=192.168.0.1 remote-address=192.168.0.100
[admin@RemoteOffice] /ppp secret> print detail
Flags: X - disabled
0 name="remote_user" service=pptp caller-id="" password="mypassword" profile=default
local-address=192.168.0.1 remote-address=192.168.0.100 routes==""
[admin@RemoteOffice] /ppp secret>
И делаем PPTP сервер на роутере enabled
[admin@RemoteOffice] /interface pptp-server server> set enabled=yes
[admin@RemoteOffice] /interface pptp-server server> print
enabled: yes
max-mtu: 1460
max-mru: 1460
mrru: disabled
authentication: mschap2
keepalive-timeout: 30
default-profile: default
[admin@RemoteOffice] /interface pptp-server server>
Теперь чтобы файрволл пропускал удаленного пользователя в локальную сеть пишем правило
/ip firewall add chain=input action=accept in-interface=pptp-in
VPN настроен.
Теперь публикуем некоторые сервисы в интернет. На простых роутерах это называется virtual servers. Также часто можно услышать вопрос "как открыть порт?" Этим открытием портов и займемся.
Допустим в сети 192.168.0.0 есть сервер с адресом 192.168.0.50 на котором работает некая программа, к которой надо подключится извне на порт 5000. Делаем переадресацию входящих запросов приходящих на маршрутизатор на реальные адреса на этот компьютер на внутренний адрес.
ip firewall nat add chain=dstnat action=dst-nat in-interface=wan protocol=tcp dst-port=5000 to-address=192.168.0.50 to-ports=5000
Разрешаем прохождение пакетов через маршрутизатор адресованных нашему серверу:
ip firewall filter add chain forward in-interface=wan protocol=tcp dst-port=5000 dst-address=192.168.0.50 action=accept comment="wan to server"
Теперь проверяем все наши правила файрволла. Последние правила, которые мы добавляли оказались ниже чем запрещающее правило ip firewall filter add chain input action=drop comment="All other inputs drop", следовательно пакеты ходить не будут. Есть 2 выхода: либо с помощью команды"ip firewall filter move X Y" (перемещает правило с позиции X на Y) передвинуть запрещающее правило в самый низ (посмотрев позиции правил с помощью "ip firewall filter print"), либо удалить запрещающее правило и создать заново.
В ходе написания материала очень помогали следующие ресурсы:
Блог "Папы Админа"
Официальная Wiki
Блог Сергея Лаговского
Подскажите пожалуйста, насколько сложно будет (и возможно ли) на Mikrotik RB750 организовать свой VPN-сервис доступный извне (чтобы люди могли использовать мой IP для выхода в Интернет подключаясь извне к моему VPN-серверу т.е. к Mikrotik’y непривязанному к другим серверам?)
ОтветитьУдалить/ip firewall add chain=input action=accept in-interface=pptp-in
ОтветитьУдалитьНе очень понятна эта строка, в терминале выдает ошибку в ней.
ip firewall nat add ....
Удалитьподтверждаю не работает, как добавить правило в firewall filter чтобы пропускал входящие соединения к pppoe серверу соединения к
УдалитьНе видит удаленный клиент локальную сеть
ОтветитьУдалитьДля этого на bridge-local нужно сделать режим ARP:proxy-arp, а не enabled
УдалитьНе открывается порт, всё перепробовал, пакеты идут, а порт закрыт, может быть на компе что-то сделать надо?
ОтветитьУдалитьА теперь проиграем ситуацию в голове. Какой-то ресурс обращается через 5000 порт и попадает на Ваш сервис. Так вот, данный ресурс обращается к роутеру, следовательно желательно открыть 5000 порт в цепочке input.
ОтветитьУдалитьА Вы открываете forward и всё работает лишь потому, что цепочка input у Вас не задействована вообще.
Или я где-то ошибаюсь?
http://juniper.io.ua/s750805/blokirovka_saytov_mikrotik настройка миркотик
ОтветитьУдалить