Виртуальные частные сети снискали заслуженную популярность. Это надежное и
безопасное средство, предназначенное для организации межсайтовой сетевой
инфраструктуры и подключений удаленного доступа. В последние годы среди
существующих VPN-протоколов особое место занимает PPTP. Решения на его базе
распространены, легко внедряются и обеспечивают уровень защиты, достаточный для
большинства компаний.
Почему именно PPTP?
Туннельный протокол PPTP позволяет зашифровать мультипротокольный трафик, а
затем инкапсулировать (упаковать) его в IP-заголовок, который будет отправлен по
локальной или глобальной сети. PPTP использует:
- TCP-подключение для управления туннелем;
- модифицированную версию GRE (общая инкапсуляция маршрутов) для
инкапсулирования PPP-фреймов туннелированных данных.
Полезная нагрузка передаваемых пакетов может быть зашифрована (с помощью
протокола шифрования данных MPPE), сжата (используя алгоритм MPPC) или
зашифрована и сжата.
PPTP легок в развертывании, не требует инфраструктуры сертификатов и
совместим с подавляющим большинством NAT-устройств. Все версии Microsoft Windows,
начиная с Windows 95 OSR2, включают в свой состав PPTP-клиент. Также клиенты для
подключения по PPTP есть в Linux, xBSD и Mac OS X. Провайдеры знают об этих
преимуществах, и именно поэтому для организации подключения к интернету часто
используют PPTP, даже несмотря на то, что изначально у него защищенность ниже,
чем у L2TP, IPSec и SSTP (PPTP чувствителен к словарным атакам, кроме того,
VPN-подключение, основанное на протоколе PPTP, обеспечивает конфиденциальность,
но не целостность передаваемых данных, так как отсутствуют проверки, что данные
не были изменены при пересылке).
Стоит отметить: в больших сетях PPTP предпочтительнее PPPoE
. Ведь при
использовании последнего поиск сервера производится путем рассылки
широковещательных пакетов, которые могут потеряться на свичах, да и сеть такие
пакеты "наводняют" весьма прилично.
Аутентификация и шифрование
В Vista и Win2k8 список опознавательных протоколов PPP заметно сокращен.
Исключены SPAP, EAP-MD5-CHAP и MS-CHAP, которые давно признаны небезопасными (в
них используются алгоритмы хеширования MD4 и шифрования DES). Список доступных
протоколов теперь выглядит так: PAP, CHAP, MSCHAP-v2 и EAP-TLS (требует наличия
пользовательских сертификатов или смарт-карт). Настоятельно рекомендуется
использовать MSCHAP-v2
, поскольку он надежнее и обеспечивает взаимную
аутентификацию клиента и сервера. Также посредством групповой политики предпиши
обязательное применение сильных паролей.
Для шифрования VPN-соединения при помощи MPPE используются 40, 56 и
128-битные RSA RC4 ключи. В первых версиях Windows из-за ограничений на экспорт
военных технологий был доступен только 40-битный ключ и с некоторыми оговорками
– 56-битный. Они уже давно признаны недостаточными, и, начиная с Vista,
поддерживается исключительно 128-битная длина ключа. Может возникнуть ситуация,
что у клиента поддержки такой возможности нет, поэтому для старых версий Windows
надо накатить все сервис-паки или обновления безопасности. Например, WinXP SP2
без проблем подключится к серверу Win2k8.
Чтобы самостоятельно просмотреть список поддерживаемых системой алгоритмов и
длин ключей, обратись к ветке реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL.
В частности, настройки алгоритмов шифрования находятся в ветке Ciphers\RC4.
Принудительно активировать нужную опцию можно, создав параметр dword "Enabled" и
установив его значение в "ffffffff". Есть и другой способ, который Microsoft не
рекомендует, – активировать поддержку 40/56-битных RC4 ключей на сервере Win2k8.
Для этого необходимо установить в "1" параметр реестра HKLM\System\CurrentControlSet\Services\Rasman\Parameters\AllowPPTPWeakCrypto
и перезапустить систему.
Настройка сервера PPTP в Win2k8
Типичная конфигурация для работы VPN состоит из контроллера домена
, серверов
RRAS (Routing and Remote Access)
и NPS (Network Policy Server)
. В процессе
настройки этих ролей дополнительно будут активированы сервисы DHCP и DNS.
Сервер, которому предстоит выполнять роль VPN, перед установкой роли RRAS должен
быть присоединен к домену. В отличие от L2TP и SSTP, сертификаты при работе PPTP
не нужны, поэтому сервер сертификатов (Certificate Services) не потребуется.
Сетевые устройства, которые будут участвовать в построении VPN (в том числе,
ADSL и подобные модемы), должны быть подсоединены и настроены соответствующим
образом (Пуск –> Панель управления –> Диспетчер устройств). Для некоторых схем
VPN (с использованием NAT и при соединении двух сетей) потребуется, как минимум,
два сетевых устройства.
Используя мастер установки ролей (Диспетчер сервера –> Роли –> Установить
роль), устанавливаем роль "Службы политики сети и доступа" (Network Access
Services) и переходим к выбору служб ролей, где отмечаем все компоненты "Службы
маршрутизации и удаленного доступа" (Routing and Remote Access Services).
Нажимаем "Далее" и в следующем окне подтверждаем настройки щелчком по "Установить".
Служба удаленного доступа и маршрутизации установлена, но еще не настроена и
не запущена. Для настройки параметров работы переходим в "Диспетчере сервера" во
вкладку "Роли –> Службы политики сети и доступа -> Службы маршрутизации и
удаленного доступа"; как вариант, можно использовать консоль "Маршрутизация и
удаленный доступ", вызываемую из вкладки "Администрирование" меню "Пуск".
Отмечаем наш сервер в списке (консоль может быть подключена к нескольким
системам) и в контекстном меню щелкаем "Настроить и включить маршрутизацию и
удаленный доступ" (Configure and Enable Routing and Remote Access). Если до
этого предпринимались попытки настроить службу, то для повторной установки
некоторых параметров придется ее остановить, выбрав пункт "Отключить
маршрутизацию и удаленный доступ". При этом все настройки будут сброшены.
Появившийся мастер установки предложит выбрать типичную конфигурацию сервера,
которая наиболее точно соответствует предполагаемым задачам. В меню выбора –
пять пунктов, четыре из них предоставляют готовые установки:
- Удаленный доступ (VPN или модем) – позволяет пользователям подключаться
через удаленное (коммутируемое) или безопасное (VPN) подключение; - Преобразование сетевых адресов (NAT) – предназначено для подключения к
интернету нескольких клиентов через один IP-адрес; - Доступ к удаленной сети (VPN) и NAT – является миксом предыдущих
пунктов, предоставляет возможность выхода в интернет с одного IP-адреса и
удаленного подключения; - Безопасное соединение между двумя сетями – подключение одной сети к
другой, удаленной.
Следующий шаг для каждого из этих пунктов будет индивидуальным. Например, при
настройке SSTP (см. статью " ") мы выбирали третий
сценарий. Для PPTP подойдет любой из предложенных вариантов, хотя рекомендуемым
считается пункт "Удаленный доступ", установленный по умолчанию. Если есть
затруднения при выборе схемы, выбери пятый пункт "Особая конфигурация", либо по
окончании работы мастера продолжи настройку в ручном режиме. Кроме того, можно
обратиться к документации, нажав ссылку "Подробнее", расположенную внизу окна.
На следующем шаге отмечаем список служб, которые следует включить на сервере.
Таких пунктов пять, их названия говорят сами за себя:
- Доступ к виртуальной частной сети (VPN);
- Удаленный доступ (через телефонную сеть);
- Подключение по требованию (для маршрутизации отделений организации);
- Преобразование сетевых адресов (NAT);
- Маршрутизация локальной сети.
Собственно, все предустановки, о которых говорилось выше, сводятся к
активации этих служб в разной комбинации. В большинстве случаев следует выбрать
"Удаленный доступ (VPN или модем)", а затем – "Доступ к виртуальной частной сети
(VPN)". Далее просто нужно указать на сетевой интерфейс, который подключен к
интернету (отметив его мышкой). Если мастер обнаружит только одно активное
соединение, то он закончит работу с предупреждением, что для данного режима
требуется еще одна сетевая карта, либо предложит перейти к настройкам в режиме "Особая конфигурация".
Флажок "Безопасность с использованием фильтра статических пакетов"
рекомендуется оставить взведенным. Такие фильтры пропускают VPN-трафик только с
указанного интерфейса, а исключения для разрешенных VPN-портов придется
настраивать вручную. При этом можно настраивать статические фильтры и брандмауэр
Windows на одном интерфейсе, но не рекомендуется, так как это снизит
производительность.
На шаге "Назначение IP-адресов" выбери способ получения IP-адреса клиентами
при подключении к VPN-серверу: "Автоматически" либо "Из заданного диапазона
адресов". Проверка подлинности учетной записи может быть произведена как
сервером RRAS, так и любым другим сервером, поддерживающим протокол RADIUS. По
умолчанию предлагается первый вариант, но в большой сети с несколькими серверами
RRAS лучше использовать RADIUS. На этом работа мастера заканчивается. Нажимаем
кнопку "Готово", и появившееся окно сообщает, что необходимо настроить "Агент
ретрансляции DHCP". Если RRAS и DHCP-сервер находятся в одном сегменте, и нет
проблем с обменом служебных пакетов, тогда Relay agent настраивать необязательно
(кстати, на внутреннем интерфейсе он активируется по умолчанию).
Настройки в консоли
В окне консоли теперь будет доступно дерево установок. Желательно пройтись по
всем пунктам, чтобы разобраться, что где находится. Так, в пункте "Интерфейсы
сети" будут показаны все настроенные ранее сетевые интерфейсы. Выбрав в меню
пункт "Создать новый интерфейс вызова по требованию", можно добавить подключение
к VPN или PPPoE-серверам. Для просмотра списка протоколов, используемых портов и
их состояния переходим в "Порты". Кнопка "Настроить" в окне "Свойства" позволяет
изменить параметры работы выбранного протокола. Например, по умолчанию
количество PPTP-, L2TP- и SSTP-подключений (портов) ограничено 128, а также
разрешены все подключения (удаленного доступа и по требованию). В качестве
(необязательного) идентификатора сервера используется телефон, введенный в поле
"Номер телефона для этого устройства".
В пункте "Клиенты удаленного доступа" отображается список подключенных
клиентов. Цифра рядом с названием пункта подскажет их количество. При помощи
контекстного меню можно проверить состояние клиента и при необходимости его
отключить. Два пункта IPv4 и IPv6 позволяют настроить IP-фильтры, статические
маршруты, агент DHCP ретрансляции и некоторые другие параметры.
Работа со вкусом
Нельзя не рассказать о еще одной возможности, которая заметно упростит жизнь
администраторам — пакет администрирования диспетчера подключений CMAK (Connection
Manager Administration Kit)
. Мастер CMAK создает профиль, который позволит
пользователям входить в сеть только с теми свойствами подключения, которые
определит для них админ. Это не новинка Win2k8 – CMAK был доступен еще для Win2k
и поддерживает клиентов вплоть до Win95. Тем не менее, провайдеры до сих пор
снабжают пользователя мудреными инструкциями вместо того, чтобы предоставить ему
готовые файлы с настройками.
CMAK является компонентом Win2k8, но по умолчанию не инсталлируется. Сам
процесс установки при помощи "Диспетчера сервера" стандартен. Выбираем "Компоненты – Добавить компоненты" и в появившемся мастере отмечаем
"Пакет
администрирования диспетчера подключений". По окончании установки одноименный
ярлык появится в меню "Администрирование".
При вызове СМАК запустится мастер, который поможет создать профиль диспетчера
подключений. На первом шаге выбери ОС, для которой предназначен профиль.
Доступны два варианта: Vista и Windows 2000/2003/XP. Основное их отличие состоит
в том, что Vista поддерживает SSTP. Далее выбираем "Новый профиль". Есть
возможность использовать в качестве шаблона уже имеющийся профиль; последующие
шаги предлагают объединить нескольких профилей. Указываем название службы
(пользователи его увидят после установки пакета) и имя файла, куда будет
сохранен профиль. При создании профиля службы мастер CMAK копирует все входящие
в этот профиль файлы в Program Files\CMAK\Profiles. В некоторых сетях при
проверке подлинности используется имя области (Realm name), например, в Windows
это имя AD домена ([email protected]). Мастер позволяет задать такое имя области,
которое будет автоматически добавлено к логину. И, наконец, добавляем поддержку
VPN-подключений. Активируем флажок "Телефонная книга из этого профиля" и затем
выбираем "Всегда использовать один VPN-сервер" или "Разрешить пользователю
выбирать VPN-сервер перед соединением". Во втором случае требуется заранее
подготовить txt-файл со списком серверов (формат файла).
На этапе "Создать или изменить" выбираем "Изменить", чтобы появилось окно "Правка VPN". Здесь три вкладки (при активном IPv6 – четыре). В
"Общие" отмечаем "Отключить общий доступ к файлам и принтерам" (в большинстве случаев такая
функциональность не требуется). В IPv4 указываются адреса основного и
дополнительного DNS и WINS серверов. Установкой соответствующих флажков можно
указать на использование PPTP-подключения как шлюза по умолчанию и активировать
сжатие IP-заголовков. Настройки безопасности производятся в одноименной вкладке.
Здесь указываем, обязательно ли использовать шифрование, и отмечаем необходимые
методы аутентификации. Список "Стратегия VPN" позволяет указать, какой метод
будет использован при подключении к VPN-серверу. Возможно два варианта: только
один протокол или перебор протоколов до успешной активации соединения. В
контексте статьи нас интересует "Использовать только PPTP" или "Сначала PPTP".
Здесь все, закрываем окно и двигаемся дальше.
Страница "Добавить телефонную книгу" позволяет задать номера, используемые
для подключения к dial-up серверу. При необходимости можно также настроить
автоматическое обновление списка номеров. Страница "Настроить записи удаленного
доступа к сети", а также окно, появляющееся при нажатии "Изменить", сходны по
содержанию с "Создать или изменить". Следующий шаг позволяет модифицировать
таблицы маршрутизации на подключившихся клиентах: в большинстве случаев лучше
оставить "Не изменять таблицы маршрутизации". Если нужно, указываем параметры
прокси для IE. Кроме стандартных установок, мастер позволяет установить
действия, которые могут быть выполнены на разных этапах подключения клиента
(например, запустить программу). Далее задаем значки для разных ситуаций (окна
подключения, телефонной книги и так далее), выбираем файл справки, сведения о
поддержке. При необходимости включаем в профиль диспетчер подключений. Это может
быть полезно для клиентских систем, на которых установлена ОС, не содержащая
диспетчер. Сюда же можно добавить текстовый файл с лицензионным соглашением и
дополнительные файлы, которые будут поставляться с профилем. На этом работа
мастера окончена – в резюме будет показан путь к установочному файлу. Копируем
его в общедоступную папку, чтобы пользователи могли свободно скачать.
Теперь юзерам достаточно запустить исполняемый файл и ответить на
один-единственный вопрос: сделать это подключение доступным для "Всех
пользователей" или "Только мне". После чего значок нового соединения будет
добавлен в "Сетевых подключениях", и появится окно регистрации, в котором
необходимо ввести свой логин и пароль. Очень удобно!
Управление RRAS при помощи Netsh
Некоторыми настройками RRAS-сервера можно управлять при помощи утилиты Netsh
(network shell). Добавить тип проверки подлинности учетной записи можно при
помощи команды:
> Netsh ras add authtype PAP|MD5CHAP|MSCHAPv2|EAP
Для ранних версий Windows еще и MSCHAP|SPAP. Режим проверки:
> Netsh ras set authmode STANDARD|NODCC|BYPASS
Зарегистрировать компьютер как RRAS-сервер в AD:
> Netsh ras add registeredserver
Добавить расширение PPP:
> Netsh ras add link SWC|LCP
Расширение SWC обеспечивает программное сжатие, а LCP активирует одноименное
расширение протокола PPP. Типы многоканальной связи поддерживаемых PPP:
> Netsh ras add multilink MULTI|BACP
Свойства учетной записи задаются следующим образом:
> Netsh ras set user
При помощи "set client" можно просмотреть статистику или отключить клиента.
Сохранить и восстановить конфигурацию RRAS при помощи Netsh также просто:
> Netsh ras dump > "filename"
> Netsh exec "filename"
Кроме этого, очень много настроек содержит контекст "ras aaaa".
Подробно о Netsh смотри в статье "Командный забег в лагерь Лонгхорна" в
.
INFO
PPTP был разработан еще до создания стандартов IPsec и PKI и в настоящее
время является самым популярным VPN-протоколом.
VPN-туннели - распространенный вид связи типа "точка-точка" на основе стандартного интернет-соединения через роутеры MikroTik. Они представляют собой, по сути "канал внутри канала" - выделенную линию внутри основной.
Необходимость настройки туннельного VPN-соединения на MikroTik возникает в случаях, когда:
- Требуется предоставить доступ к корпоративной сети сотрудникам предприятия , которые работают из дома, или находясь в командировке, в том числе с мобильных устройств.
- Требуется предоставить доступ в интернет абонентам провайдера (в последнее время такая реализация доступа клиентов становится все более популярной).
- Необходимо соединить два удаленных подразделения предприятия защищенным каналом связи с минимальными затратами.
В отличие от обычной сети, где данные передаются открыто и в незашифрованном виде, VPN является защищенным каналом связи. Уровень защиты зависит от типа туннельного протокола, выбранного для соединения. Так, наименее защищенным считается протокол PPtP, даже его "верхний" алгоритм аутентификации mschap2 имеет ряд проблем безопасности и легко взламывается. Наиболее безопасным считается набор протоколов IPsec.
Несмотря на укоряющую картинку, иногда смысл в отключении шифрования и аутентификации все же есть. Многие модели MikroTik не поддерживают аппаратное шифрование, и обработка всех процессов, связанных с защитой соединения происходит на уровне CPU. Если безопасность соединения не является для вас критичным моментом, а производительность используемого роутера оставляет желать лучшего, то отключение шифрования можно использовать для разгрузки процессора.
Выбор протокола для VPN на MikroTik
Для настройки соединения по VPN через MikroTik чаще всего используются следующие протоколы:
В сегодняшней статье мы рассмотрим настройку подключения VPN с помощью двух из них, как наиболее часто встречающихся в работе провайдера и системного администратора: PPtP и PPPoE. .
VPN через PPtP на MikroTik
PPtP - самый распространенный протокол VPN. Представляет собой связку протокола TCP, который используется для передачи данных, и GRE - для инкапсуляции пакетов. Чаще всего применяется для удаленного доступа пользователей к корпоративной сети. В принципе, может использоваться для многих задач VPN, однако следует учитывать его изъяны в безопасности.
Прост в настройке. Для организации туннеля требуется:
создать на роутере MikroTik, через который пользователи будут подключаться к корпоративной сети, PPtP-сервер,
создать профили пользователей с логинами/паролями для идентификации на стороне сервера,
создать правила-исключения Firewall маршрутизатора, для того, чтобы подключения беспрепятственно проходили через брандмауер.
Включаем PPtP сервер.
Для этого идем в раздел меню PPP , заходим на вкладку Interface , вверху в перечне вкладок находим PPTP сервер и ставим галочку в пункте Enabled.
Снимаем галочки с наименее безопасных алгоритмов идентификации - pap и chap.
Создаем пользователей.
В разделе PPP переходим в меню Secrets и с помощью кнопки " + " добавляем нового пользователя.
В полях Name и Password прописываем, соответственно логин и пароль, который будет использовать пользователь для подключения к туннелю.
В поле Service выбираем тип нашего протокола - pptp, в поле Local Address пишем IP-адрес роутера MikroTik, который будет выступать в роли VPN-сервера, а в поле Remote Address - IP-адрес пользователя
Прописываем правила для Firewall.
Нам нужно открыть 1723 порт для трафика по TCP-протоколу для работы VPN-туннеля MikroTik, а также разрешить протокол GRE. Для этого идем в раздел IP, потом - в Firewall , потом на вкладку Filter Rules , где с помощью кнопки "+" добавляем новое правило. В поле Chain указываем входящий трафик - input , в поле Protocol выбираем протокол tcp , а в поле Dst. Port - указываем порт для VPN туннеля 1723 .
Переходим здесь же на вкладку Action и выбираем accept - разрешать (трафик).
Точно также добавляем правило для GRE. На вкладке General аналогично предыдущему прописываем input, а в поле Protocol выбираем gre.
На вкладке Action как и в предыдущем правиле выбираем accept.
Не забываем поднять эти правила в общем списке наверх, поставив ПЕРЕД запрещающими правилами, иначе они не будут работать. В RouterOS Mikrotik это можно сделать перетаскиванием правил в окне FireWall.
Все, PPtP сервер для VPN на MikroTik поднят.
Небольшое уточнение.
В некоторых случаях, когда при подключении необходимо видеть локальную сеть за маршрутизатором , нужно включить proxy-arp в настройках локальной сети. Для этого идем в раздел интерфейсов (Interface), находим интерфейс, соответствующий локальной сети и на вкладке General в поле ARP выбираем proxy-arp .
Если вы подняли VPN между двумя роутерами MikroTik и вам необходимо разрешить передачу broadcast, можно попробовать добавить существующий профиль подключения (PPP - Profiles) удаленного роутера в бридж главного:
UPD из комментария: Если вам дополнительно нужно получить доступ к расшаренным папкам на компьютерах локальной сети, понадобится также открыть порт 445 для проходящего трафика SMB-протокола, который отвечает за Windows Shared. (Правило forward в брандмауере).
Настройка клиента .
На стороне VPN-клиента настройки состоят только в том, чтобы создать подключение по VPN, указать IP-адрес VPN (PPtP) сервера, логин и пароль пользователя.
VPN через PPPoE на MikroTik
Своей распространенностью в последнее время VPN по протоколу PPPOE обязан провайдерам, предоставляющим широкополосный, в т. ч. беспроводной доступ в интернет. Протокол предполагает возможность сжатия данных, шифрования, а также характеризуется:
Доступностью и простотой настройки.
Поддержкой большинством маршрутизаторов MikroTik.
Стабильностью.
Масштабируемостью.
Устойчивостью зашифрованного трафика к ARP-спуфингу (сетевой атаке, использующей уязвимости протокола ARP).
Меньшей ресурсоемкостью и нагрузкой на сервер, чем PPtP.
Также его преимуществом является возможность использования динамических IP-адресов: не нужно назначать определенный IP конечным узлам VPN-туннеля. Подключение со стороны клиента осуществляется без сложных настроек, только по логину и паролю.
Настройка VPN-сервера PPPoE MikroTik
Настраиваем профили сервера.
Несколько профилей PPPoE-сервера могут понадобиться, если вы провайдер и раздаете интернет по нескольким тарифным пакетам. Соответственно, в каждом профиле можно настроить разные ограничения по скорости.
Идем в раздел PPP , открываем пункт Profiles и с помощью кнопки " + " создаем новый профиль. Даем ему понятное нам название, прописываем локальный адрес сервера (роутера), отмечаем опцию Change TCP MSS (корректировку MSS), для того, чтобы все сайты нормально открывались.
Кстати, в некоторых случаях, когда возникают проблемы с открытием некоторых сайтов, при том, что пинги на них проходят, можно сделать по-другому. Корректировку MSS отключаем, а через терминал прописываем на роутере следующее правило:
"ip firewall mangle add chain=forward protocol=tcp tcp-flags=syn tcp-mss=1453-65535 action=change-mss new-mss=1360 disabled=no". В большинстве случаев это решает проблему.
Далее на вкладке Protocols все отключаем, для улучшения производительности. Если защищенность соединения для вас важна и производительность маршрутизатора позволяет, то опцию Use Encryption (использовать шифрование) не отключайте.
На вкладке Limits устанавливаем ограничения по скорости, если нужно. Первая цифра в ограничении скорости - входящий трафик на сервер (исходящий от абонента), вторая - наш исходящий трафик (входящий у абонента).
Ставим Yes в пункте Only One , это значит, что два и более абонентов с одним и тем же набором логин/пароль не смогут подключиться к PPPoE-серверу, только один.
Теперь, если необходимо, создаем остальные профили простым копированием (кнопка Copy на предыдущем скриншоте) и меняем имя и ограничение по скорости.
Создаем учетные записи пользователей .
В том же разделе PPP находим пункт меню Secrets . В нем с помощью кнопки "+" создаем нового пользователя, который будет подключаться к нам по VPN-туннелю.
Заполняем поля Name и Password (логин и пароль, который будет вводить пользователь со своей стороны, чтобы подключиться).
В поле Service выбираем pppoe , в Profile - соответствующий профиль, в данном случае - тарифный пакет, которым пользуется абонент. Присваиваем пользователю IP-адрес, который при подключении сервер раздаст абоненту.
Если подключаем несколько пользователей, создаем для каждого из них отдельную учетную запись, меняя имя/пароль и IP-адрес.
Привязываем PPPoE сервер к определенному интерфейсу MikroTik.
Теперь нам необходимо сообщить маршрутизатору, на каком интерфейсе он должен "слушать" входящие подключения от VPN PPPoE клиентов. Для этого в разделе PPP мы выбираем пункт PPPoE Servers. Здесь мы меняем:
Поле Interface - выбираем тот интерфейс, к которому будут подключаться клиенты,
- Keepalive Timeout - 30 секунд (время ожидания ответа от клиента до разрыва соединения)
- Default Profile - профиль, который будет присваиваться подключаемым абонентам по умолчанию,
- Ставим галку в One Session Per Host, тем самым разрешая подключение только одного туннеля с маршрутизатора клиента или компьютера.
- Галочки в разделе аутентификации оставляем/снимаем по усмотрению.
Настраиваем NAT для доступа клиентов в интернет.
Мы подняли PPPoE сервер и теперь к нему могут подключаться авторизованные пользователи. Если нам нужно, чтобы подсоединившиеся по VPN туннелю пользователи имели доступ в интернет, нужно настроить NAT (маскарадинг), или преобразование локальных сетевых адресов.
В разделе IP выбираем пункт Firewall и с помощью кнопки "+" добавляем новое правило.
В поле Chain должно стоять srcnat , что означает, что маршрутизатор будет применять это правило к трафику, направленному "изнутри наружу".
В поле Src. Address (исходный адрес) прописываем диапазон адресов 10.1.0.0/16 . Это означает, что все клиенты с адресами 10.1. (0.0-255.255) будут выходить в сеть через NAT, т. е. мы перечисляем здесь всех возможных абонентов.
В поле Dst. Address (адрес назначения) указываем !10.0.0.0/8 - диапазон адресов, означающий собственное адресное пространство для частных сетей, с восклицательным знаком впереди. Это указывает роутеру на исключение - если кто-то из локальной сети обращается на адрес в нашей же сети, то NAT не применяется, соединение происходит напрямую.
А на вкладке Action прописываем, собственно, действие маскарадинга - подмены локального адреса устройства на внешний адрес роутера.
Настройка VPN-клиента PPPoE
Если на той стороне VPN туннеля подключение будет происходить с компьютера или ноутбука, то просто нужно будет создать высокоскоростное подключение через PPPoE в Центре управления сетями и общим доступом (для Win 7, Win 8). Если на второй стороне - тоже роутер Mikrotik, то подключаем следующим образом.
Добавляем PPPoE интерфейс.
На вкладке Interface выбираем PPPoE Client и с помощью кнопки "+" добавляем новый интерфейс.
Здесь в поле Interface мы выбираем тот интерфейс роутера Mikrotik, на котором мы организуем VPN-туннель.
Прописываем настройки подключения.
Ставим галочку в поле Use Peer DNS - для того, чтобы адрес DNS сервера мы получали с сервера VPN (от провайдера), а не прописывали вручную.
Настройки аутентификации (галочки в pap, chap, mschap1, mschap2) должны быть согласованы с сервером.
сайт
Многие пользователи наверняка слышали о таком термине, как «соединение PPTP». Некоторые даже отдаленно не представляют себе, что это такое. Однако если простым языком описывать принципы установки соединения на основе данного протокола, то понять их совсем нетрудно.
Что такое соединение PPTP?
Подключение данного типа строится на основе одноименного протокола, название которого происходит от английского point-to-pointtunnelingprotocol. Дословно это можно перевести как «туннельный протокол типа «точка-точка». Иначе говоря, это соединение между двумя абонентом посредством передачи в зашифрованном виде пакетов данных через незащищенные сети на основе TCP/IP.Тип соединения PPTP дает возможность осуществлять преобразование так называемых кадров PPP в стандартные пакеты IP, которые передаются посредством того же интернета. Считается, что сам протокол PPTP по уровню безопасности уступает другим вариантам типа IPSec. Однако, несмотря на это он имеет довольно широкое распространение. По сути, пользователь имеет дело с одной из разновидностей подключений VPN (беспроводное подключение).
Для чего нужно использовать соединение PPTP?
Сфера использования протокола PPTP довольно обширна. Прежде всего, стоит отметить, что такой вид соединения между двумя пользователями позволяет защитить информацию, а также значительно сэкономить на дальних звонках. Протокол PPTP довольно часто бывает незаменим при обеспечении связи между двумя локальными сетями посредством передачи в интернете по туннелю или защищенной линии без использования прямого соединения между ними. Это значит, что непосредственного контакта две локальные сети не имеют и в качестве посредника они используют туннель. С другой стороны туннелирование на основе протокола PPTP может использоваться при создании соединения типа клиент-сервер. При таком соединении пользовательский терминал подключается к серверу по защищенному каналу.
Реализация PPTP в различных операционных системах
Отвлечемся немного и взглянем на соединение PPTP с другой стороны. Мало кто понимал, что это такое с момента разработки данного протокола корпорацией Microsoft.В полноценном варианте впервые данный протокол был реализован компанией Cisco, но и специалисты компании Microsoft не отставали. Начиная с версии операционной системы Windows 95 OSR2, возможности создания подключения на основе протокола PPTP появились в более поздних программных продуктах, при этом они имели даже средства настройки сервера PPTP.В качестве примера далее будет рассмотрено соединение PPTP в операционной системе Windows 7.Стоит отметить, что на сегодняшний день данная операционная система считается наиболее популярной. В Linux-системах до недавнего времени полная поддержка протокола PPTP не была предусмотрена. Она появилась только в модификации 2.6.13.Официально поддержка данного протокола была заявлена в версии ядра 2.6.14. Операционные системы MacOSX и Free BSD поставляются со встроенными клиентами PPTP. КПК Palm, которые имеют поддержку беспроводного соединения Wi-Fi, оборудованы специальным клиентом Mergic.
Условия корректного соединения
Процесс использования туннелирования является довольно специфичным. Настройка соединения PPTP предполагает использование порта TCP 1723, а также в обязательном порядке протокола IPGRE с номером 47. Следовательно, настройка межсетевого экрана, если такой есть, и встроенного брэндмауэра операционной системы Windows должна быть такой, чтобы пакеты IP могли свободно проходить без ограничений. Это касается не только машин пользователей, но и локальных сетей. Такая свободная передача туннелированных данных в равной степени должна обеспечиваться на уровне провайдера. При использовании NAT на промежуточной стадии передачи данных должна быть настроена соответствующим образом обработка VPN.
PPTP: общие принципы подключения и работы
Мы рассмотрели соединение PPTP достаточно кратко. Многим, наверное, уже хоть немного понятно, что это такое. Чтобы внести полную ясность в этот вопрос, рассмотрим основные принципы функционирования протокола и связи на его основе. Также подробно рассмотрим процесс установки соединения PPTPGRE.Соединение между двумя точками устанавливается на основе обычной сессии PPP на базе протокола GRE (инкапсуляция). Второе подключение осуществляется непосредственно на порте TCP, который отвечает за инициацию и управление GRE.Сам по себе передаваемый пакет IPX состоит непосредственно из данных, которые иногда называют полезной нагрузкой, и дополнительной управляющей информации. Что же происходит на другом конце линии при получении пакета? Соответствующая программа для соединения PPTP как бы извлекает информацию, содержащуюся в пакете IPX,и отправляет ее на обработку с помощью средств, которые соответствуют собственному протоколу системы. Помимо этого, одним из важных компонентов туннельной передачи и приема основной информации является обязательное условие использования доступа с помощью комбинации «логин-пароль». Если взломать пароли и логины на стадии получения еще можно, то в процессе передачи информации по защищенному коридору или туннелю это сделать невозможно.
Средства защиты соединения
Как уже было сказано ранее, туннелирование на основе протокола PPTP не является защищенным абсолютно во всех аспектах. Если учитывать, что при шифровании данных используются такие средства, как MSCHAP-v2, EAP-TLS или даже MPEE,то можно говорить о довольно высокой степени защиты. В некоторых случаях для увеличения уровня безопасности могут быть использованы ответные звонки, при которых принимающая или передающая сторона осуществляет подключение и передачу информации программным способом.
Как настроить PPTP собственными средствами операционной системы Windows 7: параметры сетевого адаптера
В любой операционной системе семейства Windows настроить соединение PPTP достаточно просто. Как уже было сказано ранее, в качестве примера мы рассмотрим Windows 7.Прежде всего, необходимо зайти в «Центр управления сетями и общим доступом». Это можно сделать при помощи «Панели управления», или при помощи меню, вызываемого путем правого клика мыши на значке сетевого или интернет-подключения. Слева в меню находится строка для изменения параметров сетевого адаптера. Необходимо задействовать ее, а после этого путем правого клика мыши на подключении по локальной сети вызвать контекстное меню и выбрать строку свойств. В открывшемся окне необходимо использовать свойства протокола TCP/IPv4.В окне настроек необходимо прописать параметры, которые предоставлены провайдером при подключении. Как правило, устанавливается автоматическое получение адресов для DNS и IP-серверов. Необходимо сохранить выполненные изменения и вернуться к подключению по локальной сети, где необходимо проверить, активно ли оно в данный момент времени. Для этого необходимо использовать правый клик мыши. Если в верхней строке будет указано «Отключить», то значит соединение активно. В противном случае необходимо включить его.
Создание и настройка VPN
Следующим этапом является создание VPN-подключения. Для этого необходимо в разделе «Центр управления» в правой части окна использовать строку создания нового подключения. После этого необходимо выбрать подключение к рабочему месту, а после этого – использование существующего подключения к интернету.Затем необходимо отложить настройку интернет-соединения. В следующем окне необходимо указать интернет-адрес оператора VPN и указать произвольное имя. Снизу обязательно нужно поставить галочку напротив строки «Не подключаться сейчас». Поле этого снова необходимо снова ввести логин и пароль, если они предусмотрены договором на предоставление услуг, а после этого нажать на кнопку «Создать». После этого нужно выбрать в списке доступных подключений, только что созданное и нажать на кнопку свойств в новом окне. Далее необходимо действовать предельно аккуратно. В обязательном порядке на вкладке безопасности необходимо установить следующие параметры:
— тип VPN – автоматический;
— шифрование данных – необязательно;
— разрешение протоколов: CHAP и CHAP версии 2.
Теперь необходимо подтвердить выполненные изменения и перейти к окну установки соединения, где нужно нажать на кнопку подключения. Если настройки выполнены должным образом, будет выполнено подключение к интернету. Стоит ли использовать для этой цели сторонние утилиты? Пользователи по-разному реагируют на вопрос установки дополнительных PPTP серверов или клиентов. Однако большинство из них сходятся во мнении, что настройка и использование встроенного модуля Windows выглядит в плане простоты намного предпочтительнее. Конечно, можно установить что-то вроде пакета pfSense, который представляет собой межсетевой экран-маршрутизатор. Однако его «родной» клиент Multilink PPP Daemon имеет множество проблем, связанных с использованием Windows-серверов на основе PPTP в плане распределения использования протокола аутентификации между сервером и клиентом в корпоративных системах. Стоит отметить, что в домашних пользовательских терминалах таких проблем отмечено не было. Данная утилита в настройке гораздо сложнее, без использования специальных знаний указать правильные параметры или исправить регулярный «слет» пользовательского IP, невозможно. Можно попробовать некоторые другие серверные или клиентские утилиты, которые предназначены для установки соединения PPTP. Но есть ли смысл загружать систему ненужными программами, поскольку в любой операционной системе семейства Windows имеются собственные средства для этой цели? Кроме того, некоторые программные продукты в этом плане настолько сложны в настройке, что могут вызвать конфликты на физическом и программном уровне, так что лучше будет ограничиться тем, что есть.
Заключение
Это собственно все, что касается протокола PPTP, создания, настройки и использования туннельного соединения на его основе. Использование данного протокола для рядового пользователя не оправдано. Возникают законные сомнения в том, что каким-то пользователям может потребоваться защищенный канал связи. Если требуется защитить свой IP-адрес, то лучше использовать для данной цели анонимные прокси-серверы в интернете или анонимайзеры. Для обеспечения взаимодействия между локальными сетями коммерческих предприятий и других структур, то установка соединения PPTP может стать простым выходом. Такое подключение, конечно, не обеспечит на все сто безопасность, однако доля здравого смысла в его использовании есть.
Один из часто задаваемых нашими пользователями вопросов - как добавить другой IP-адрес к их серверу. Вы можете назначить свой приватный IP-адрес Вашему дроплету путем создания VPN-туннеля. Для построения своей собственной виртуальной частной сети (VPN) или присвоения SSL-сертификата этому IP-адресу существует несколько вариантов. Из всех возможных вариантов наиболее оптимальным является выбор между PPTP и OpenVPN. Point-To-Point Tunneling Protocol (PPTP) позволяет Вам поднять свой VPN очень быстро и является совместимым с большинством мобильных устройств. И хотя PPTP менее безопасен, чем OpenVPN, он быстрее и использует меньше ресурсов процессора.
Шаг 1 - Установка PPTP
Вам необходимо выбрать один сервер, который будет отвечать за раздачу IP-адресов другим серверам и авторизацию всех Ваших серверов в Вашей VPN. Он и станет Вашим PPTP-сервером.
На CentOS 6 x64:
Rpm -i http://poptop.sourceforge.net/yum/stable/rhel6/pptp-release-current.noarch.rpm yum -y install pptpd
На Ubuntu 12.10 x64:
Apt-get install pptpd
Теперь необходимо отредактировать файл /etc/pptpd.conf , добавив в него следующие строчки:
Localip 10.0.0.1 remoteip 10.0.0.100-200
В данном случае, localip - это IP-адрес вашего сервера, а remoteip - IP-адреса, которые будут присваиваться клиентам, которые в ним соединяются.
Здесь сlient - это имя пользователя (логин), server - тип сервиса (в нашем примере - pptpd), secret - пароль, а в IP addresses указывается, какие IP-адреса могут авторизоваться (с данным логином и паролем). Установив в поле IP-адресов звёздочку * Вы указываете, что данная пара логин/пароль должна приниматься с любого IP.
Шаг 2 - Добавление DNS-серверов в /etc/ppp/pptpd-options
ms-dns 8.8.8.8 ms-dns 8.8.4.4Теперь Вы можете запустить PPTP-демон:
Service pptpd restart
Проверьте, что он работает и принимает соединения:
Шаг 3 - Настройка форвардинга (Forwarding)
Очень важно включить форвардинг IP на Вашем PPTP-сервере. Это позволит Вам пересылать пакеты между публичным IP и приватными IP, которые Вы настроили при помощи PPTP. Просто отредактируйте /etc/sysctl.conf , добавив туда следующую строку, если ее там еще не было:
Net.ipv4.ip_forward = 1
Для применения изменений выполните команду sysctl -p
Шаг 4 - Создание NAT-правил для iptables
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE && iptables-saveЕсли Вы также хотите, чтобы Ваши PPTP-клиенты могли общаться между собой, добавьте следующие правила для iptables:
Iptables --table nat --append POSTROUTING --out-interface ppp0 -j MASQUERADE iptables -I INPUT -s 10.0.0.0/8 -i ppp0 -j ACCEPT iptables --append FORWARD --in-interface eth0 -j ACCEPT
Теперь Ваш PPTP-сервер также работает и как роутер.
Если Вы хотите установить ограничение на то, какие сервера могут соединяться с Вашими дроплетами, Вы можете задать правило для IP-таблиц, которое ограничивает TCP-соединения к порту 1723.
Шаг 5 - Настройка клиентов
Установите PPTP-клиент на Ваших клиентских серверах:
Yum -y install pptp
Шаг 6 - Добавление необходимого модуля ядра
modprobe ppp_mppeСоздайте новый файл /etc/ppp/peers/pptpserver и добавьте туда следующие строчки, заменяя имя и пароль Вашими значениями:
Pty "pptp 198.211.104.17 --nolaunchpppd" name box1 password 24oiunOi24 remotename PPTP require-mppe-128
Здесь 198.211.104.17 - публичный IP-адрес нашего PPTP-сервера, box1 и 24oiunOi24 - это пара логин/пароль, которые мы задали в файле /etc/ppp/chap-secrets на нашем PPTP-сервере.
Теперь мы можем "вызывать" этот PPTP-сервер. В следующей команде необходимо использовать имя, которое Вы дали файлу с пирами (peers) в директории /etc/ppp/peers/ . Поскольку в нашем примере мы назвали этот файл pptpserver , наша команда выглядит следующим образом:
Pppd call pptpserver
Вы должны увидеть успешное подключение в логах PPTP-сервера:
На Вашем PPTP-клиенте настройте маршрутизацию на Вашу приватную сеть через интерфейс ppp0:
Ip route add 10.0.0.0/8 dev ppp0
Ваш интерфейс ppp0 должен быть настроен, что можно проверить путем запуска ifconfig
Теперь Вы можете сделать пинг к Вашему PPTP-серверу и любым другим клиентам, подключенным к этой сети:
Мы можем добавить второй PPTP-клиент к этой сети:
Yum -y install pptp modprobe ppp_mppe
Добавьте необходимые строки в файл /etc/ppp/peers/pptpserver (заменяя логины и пароли своими):
Pty "pptp 198.211.104.17 --nolaunchpppd" name box2 password 239Aok24ma remotename PPTP require-mppe-128
Теперь на втором клиенте выполните следующие команды:
Pppd call pptpserver ip route add 10.0.0.0/8 dev ppp0
Вы можете сделать пинг к первому клиенту, при этом пакеты будут идти через PPTP-сервер и перенаправляться по правилам ip-таблиц, которые мы задали ранее:
Такая настройка позволит Вам создать Вашу собственную виртуальную частную сеть:
Если Вы хотите, чтобы все ваши устройства общались безопасно в рамках одной сети, это наиболее быстрый способ сделать это.
Вы можете использовать такой подход совместно с Nginx, Squid, MySQL и любыми другими приложениями.
Поскольку трафик внутри сети шифруется 128-битным шифрованием, PPTP меньше нагружает процессор, чем OpenVPN, но все же обеспечивает дополнительный уровень безопасности Вашего трафика.
Рассмотрев в предыдущих частях теоретические вопросы перейдем к практической реализации. Сегодня мы рассмотрим создание VPN сервера PPTP на платформе Ubuntu Server. Данный материал рассчитан на читателей, имеющих навыки работы с Linux, поэтому мы не будем отвлекаться на вещи описанные нами в других статьях, таких как настройку сети и т.п. Если вы испытываете затруднения - предварительно изучите другие наши материалы.
Практическое знакомство с VPN мы начнем с PPTP, как наиболее простого в реализации. Однако следует помнить о том, что это слабозащищенный протокол и его не следует использовать для доступа к критически важным данным.
Рассмотрим схему, которую мы создали в нашей тестовой лаборатории для практического знакомства с данной технологией:
У нас имеется локальная сеть 10.0.0.0/24 с сервером терминалов 10.0.0.2 и 10.0.0.1, который будет выполнять функции VPN сервера, для VPN мы зарезервировали сеть 10.0.1.0/24. Внешний интерфейс сервера имеет условный выделенный IP адрес X.X.X.X. Наша цель - предоставить удаленным клиентам доступ к терминальному серверу и общим ресурсам на нем.
Настройка сервера PPTP
Установим пакет pptpd реализующий функционал PPTP VPN:
Sudo apt-get install pptpd
Теперь откроем файл /etc/pptpd.conf и зададим основные настройки VPN сервера. Перейдем в самый конец файла, где укажем адрес сервера в VPN сети:
Localip 10.0.1.1
И диапазон адресов для выдачи клиентам:
Remoteip 10.0.1.200-250
Адресов нужно выделить не меньше, чем возможных одновременных соединений, лучше с небольшим запасом, так как их увеличение без перезапуска pptpd невозможно. Также находим и раскомментируем строку:
Bcrelay eth1
Это позволит передавать VPN клиентам широковещательные пакеты внутренней сети.
Также можно использовать опции listen и speed , первая позволяет указать IP адрес локального интерфейса для прослушивания входящих PPTP соединений, второй указать скорость VPN соединений в бит/с. Например разрешим серверу принимать PPTP соединения только с внешнего интерфейса:
Listen X.X.X.X
Более тонкие настройки находятся в файле /etc/ppp/pptpd-options . Настройки по умолчанию вполне соответствуют нашим требованиям, однако кратко рассмотрим некоторые из них, чтобы вы имели представление о их назначении.
Секция #Encryption отвечает за шифрование данных и проверку подлинности. Данные опции запрещают использование устаревших и небезопасных протоколов PAP, CHAP и MS-CHAP:
Refuse-pap
refuse-chap
refuse-mschap
Require-mschap-v2
require-mppe-128
Следующая секция #Network and Routing , здесь следует обратить внимание на опцию ms-dns , которая позволяет использовать DNS сервер во внутренней сети. Это может быть полезно при доменной структуре сети или наличия в ней DNS сервера который содержит имена всех ПК сети, что дает возможность обращаться к компьютерам по их именам, а не только по IP. В нашем случае данная опция бесполезна и закомментирована. Подобным образом можно задать и адрес WINS сервера опцией ms-wins .
Здесь же находится опция proxyarp , включающая, как несложно догадаться из названия, поддержку сервером Proxy ARP.
В секции #Miscellaneous содержится опция lock , которая ограничивает клиента одним подключением.
Ivanov * 123 *
petrov * 456 10.0.1.201
Первая запись позволяет подключаться к серверу пользователю ivanov c паролем 123 и присваивает ему произвольный IP адрес, вторая создает пользователя petrov с паролем 456, которому при подключении будет присваиваться постоянный адрес 10.0.1.201.
Перезапускаем pptpd :
Sudo /etc/init.d/pptpd restart
Важное замечание! Если pptpd не хочет перезапускаться, зависая на старте, а в /var/log/syslog добавляя строку long config file line ignored обязательно добавьте в конец файла /etc/pptpd.conf перенос строки.
Наш сервер готов к работе.
Настройка клиентских ПК
В общем случае достаточно настроить VPN соединение с опциями по умолчанию. Однако мы советуем явно указать тип соединения и отключить лишние протоколы шифрования.
Далее, в зависимости от структуры сети, необходимо указать статические маршруты и основной шлюз. Эти вопросы подробно разбирались в предыдущих частях.
Устанавливаем VPN соединение и пробуем пропинговать какой либо ПК в локальной сети, мы без каких либо затруднений получили доступ к терминальному серверу:
Теперь еще одно важное дополнение. В большинстве случаев доступ к компьютерам локальной сети будет возможен только по IP адресам, т.е. путь \\10.0.0.2 будет работать, а \\SERVER - нет. Это может оказаться неудобным и непривычным для пользователей. Существует несколько способов решения данной проблемы.
Если локальная сеть имеет доменную структуру, достаточно указать DNS сервером для VPN подключения DNS сервер контроллера домена. Воспользуйтесь опцией ms-dns в /etc/ppp/pptpd-options сервера и данные настройки будут получены клиентом автоматически.
Если DNS сервер в локальной сети отсутствует, то можно создать и использовать WINS сервер, информацию о нем также можно автоматически передавать клиентам при помощи опции ms-wins . И наконец, если удаленных клиентов немного, использовать на клиентских ПК файлы hosts (C:\Windows\System32\drivers\etc\hosts), куда следует добавить строки вида.