Настройка сервера L2TP/IPsec за устройством NAT-T

В этой статье описывается настройка сервера L2TP/IPsec за устройством NAT-T.

Оригинальная версия продукта: Windows 10 — все выпуски, Windows Server 2012 R2
Исходный номер КБ: 926179

Аннотация

В этот раздел, описание метода или задачи включены действия, содержащие указания по изменению параметров реестра. Однако неправильное изменение параметров реестра может привести к возникновению серьезных проблем. Поэтому следует в точности выполнять приведенные инструкции. Для дополнительной защиты создайте резервную копию реестра, прежде чем редактировать его. Так вы сможете восстановить реестр, если возникнет проблема. Дополнительные сведения о том, как создать и восстановить реестр, см. в этой информации, как создать и восстановить реестр в Windows.

По умолчанию Ассоциации безопасности Windows Vista и Windows Server 2008 не поддерживают сетевые связи безопасности протокола Интернета (IPsec) на серверы, расположенные за устройством NAT. Если виртуальный частный сервер сети (VPN) находится за устройством NAT, клиентский компьютер Windows Vista или Windows Server 2008 не может сделать протокол туннелинга уровня 2 (L2TP)/IPsec подключением к VPN-серверу. Этот сценарий включает VPN-серверы с Windows Server 2008 и Windows Server 2003.

Из-за того, как устройства NAT переводят сетевой трафик, в следующем сценарии могут возникнуть неожиданные результаты:

• Вы ставите сервер за устройство NAT.
• Используется среда IPsec NAT-T.

Если для связи необходимо использовать IPsec, используйте общедоступные IP-адреса для всех серверов, к которые можно подключиться из Интернета. Если необходимо поставить сервер за устройство NAT, а затем использовать среду IPsec NAT-T, вы можете включить связь, изменив значение реестра на клиентский компьютер VPN и VPN-сервер.

Установите ключ реестра AssumeUDPEncapsulationContextOnSendRule

Чтобы создать и настроить значение реестра AssumeUDPEncapsulationContextOnSendRule, выполните следующие действия:

Войдите на клиентский компьютер Windows Vista в качестве пользователя, который является членом группы администраторов.

Выберите запуск всех > программ, запуск > аксессуаров, тип > regedit, а затем выберите ОК. Если диалоговое окно Управления учетной записью пользователя отображается на экране и подсказок для повышения маркера администратора, выберите Продолжить.

Найдите и выделите следующий подраздел реестра:

Вы также можете применить значение Допустимый код DWORDContextOnSendRule для vpn-клиента Microsoft Windows XP Пакет обновления 2 (SP2). Для этого найдите и выберите подкайку HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPSec реестра.

В меню Редактирование указать значение New, а затем выберите значение DWORD (32-bit).

Введите AssumeUDPEncapsulationContextOnSendRule и нажмите кнопку ENTER.

Правой кнопкой мыши предположитьUDPEncapsulationContextOnSendRule, а затем выберите Изменить.

В поле «Данные о значении» введите одно из следующих значений:

Это значение по умолчанию. Если установлено 0, Windows не может установить связи безопасности с серверами, расположенными за устройствами NAT.

Если установлено 1, Windows может устанавливать связи безопасности с серверами, расположенными за устройствами NAT.

Если установлено 2, Windows может создавать ассоциации безопасности, когда сервер и клиентский компьютер VPN (Windows Vista или Windows Server 2008) находятся за устройствами NAT.

Выберите ОК, а затем выйти из редактора реестра.

Как настроить IPSec в Windows

Существует множество приложений, которые будут реализовывать аутентификацию и шифрование сетевого трафика через отдельную стороннюю программу.

Тем не менее, операционная система Microsoft может также реализовать это через конфигурацию IPSEC. В этой статье мы рассмотрим, что такое IPSEC, и простой пример реализации.

Что такое IPSEC?

Internet Protocol Security или IPSEC — это протокол, используемый для аутентификации и шифрования IP-коммуникаций. Это достигается путем взаимной аутентификации между агентами, а также обмена криптографическими ключами в начале сеанса.

IPSEC также позволит добавлять ограничения IP и шифрование на уровне TCP / UDP к приложениям, которые иначе не могут его поддерживать. IPSEC использует IP-протокол 50 (ESP), IP-протокол 51 (AH) и UDP-порт 500.

Внедрение IPSEC

В этом примере мы настроим IPSEC для шифрования связи между двумя компьютерами Windows. Первый компьютер, сервер Windows 2012 будет выступать в качестве сервера VPN.

Второй компьютер, клиент Windows 10, будет действовать как клиент VPN. LT2P IPSEC VPN может обмениваться либо предварительным общим ключом, либо сертификатом. В этом примере мы будем обмениваться предварительным общим ключом.

Настройка VPN-сервера

На компьютере с Windows 2012 нам потребуется установить функции маршрутизации и удаленного доступа. Для этого перейдите в диспетчер серверов и добавьте роли и компоненты . Выберите установку на основе ролей или функций . Выберите локальный сервер. Выберите для установки следующие роли сервера.

Сетевая политика и службы доступа

Сервер сетевой политики

Удаленный доступ

Прямой доступ и VPN (RAS)

После установки этих новых функций вам потребуется оснастка для управления ими. Откройте mmc.exe с правами администратора. Перейти к файлу | Добавить / удалить оснастку. Добавьте оснастку маршрутизации и удаленного доступа .

Эта оснастка позволяет настраивать многопротокольные службы маршрутизации LAN-to-LAN, LAN-to-WAN, виртуальная частная сеть (VPN) и трансляция сетевых адресов (NAT).

В консоли MMC щелкните правой кнопкой мыши на маршрутизации и удаленного доступа и выберите, чтобы добавить сервер. Выберите локальную машину. Затем щелкните правой кнопкой мыши на только что созданном компьютере и выберите «Настроить и включить маршрутизацию и удаленный доступ» . Выберите Удаленный доступ (Dial Up или VPN).

Затем проверьте параметр VPN . У вас должно быть как минимум две сетевые карты, чтобы это работало. Одним из них может быть петля. Укажите диапазон адресов, которые будут предоставлены для входящего соединения. Убедитесь, что они не конфликтуют с другими адресами, выделенными в вашей существующей сети. В этом примере мы не будем использовать радиус-сервер.

Далее попытайтесь запустить службу маршрутизации и удаленного доступа. Следующий ключ реестра может потребоваться удалить, чтобы запустить службу.

В консоли mmc.exe щелкните правой кнопкой мыши на имени компьютера и перейдите в Свойства. Измените эти свойства на вкладке безопасности.

Выберите методы аутентификации, как показано ниже.

Установите флажок, чтобы разрешить настраиваемую политику IPSEC для соединения L2TP / IKEv2. Добавьте предварительный общий ключ.

Наконец, вам нужно будет изменить пользователя, чтобы получить доступ к VPN. Откройте compmgmt.msc, перейдите в раздел «Локальные пользователи и группы» и выберите свойства пользователя, которого вы хотите использовать для VPN.

Перейдите на вкладку Dial Up. Выберите Разрешить доступ и нажмите Применить . На вашем компьютере потребуется перезагрузка. После перезагрузки вы будете готовы протестировать свой первый клиент.

Настройка машины с Windows 10

На компьютере с Windows 10 откройте «Настройки сети и Интернета». Выберите VPN на левой панели и добавьте VPN-соединение. Отредактируйте дополнительные параметры.

Разместите IP-адрес вашего VPN-сервера под именем или адресом сервера. Выберите L2TP/IPSEC с параметром предварительного общего ключа в разделе Тип VPN. Добавьте предварительно общий ключ и имя пользователя и пароль.

Свойства безопасности для VPN должны быть изменены под сетевым адаптером. На адаптере VPN выберите «Свойства» и перейдите на вкладку «Безопасность». Установите переключатель EAP и выберите Microsoft: защищенный пароль (EAP-MSCHAPv2) (шифрование включено).

Наконец, снова щелкните правой кнопкой на адаптере для подключения. Поздравляем! Вы создали VPN-туннель IPSEC.

Установка IPSEC и PPTP VPN-соединений в среде Microsoft Windows XP на примере VPN-сервера OvisLink WMU-9000VPN

В одной из предыдущих статей рассматривался многофункциональный беспроводной роутер, мультимедиа и VPN сервер OvisLink WMU-9000VPN. Здесь же мы посмотрим как настраиваются VPN соединения в среде Microsoft Windows XP.

Установка VPN-соединений в ОС Windows XP производилась в сети со следующей топологией:

Установка IPSEC соединений в Microsoft Windows XP:

Здесь будет рассмотрена пошаговая установка IPSEC соединений в операционной системе Microsoft Windows XP SP2 ENG с установленным русским MUI.

VPN (Virtual Private Network) — механизм безопасной прозрачной для пользователя передачи информации через незащищенные сети (например, Internet) с возможностью удаленного использования ресурсов сети как если бы пользователь находился внутри этой сети (примером может служить локальная сеть офиса и сотруднику, уехавшему в командировку, нужно получить доступ в нее через Интернет). Пакеты, передаваемые в незашифрованном виде, могут быть перехвачены и/или фальсифицированы злоумышленником. Для предотвращения этого пакеты шифруются и инкапсулируются (включаются) в другие пакеты. Описание VPN и его возможностей не является целью этой статьи — более подробную информацию о VPN можно найти в Интернет.

IPSEC — надстройка к протоколу IP, обеспечивающая безопасность протоколов более высокого уровня. IPSEC был разработан для IPv6 протокола, а позже портирован на IPv4 протокол. Более полную информацию можно посмотреть, например, здесь.

Данный роутер имеет типичные для подобных устройств набор настроек для IPSEC VPN. Для установки и настройки VPN-соединений в веб-интерфейсе роутера присутствует ссылка «VPN», нажав на которую мы попадаем в меню установки VPN-соединений. Для создания IPSEC соединения жмем кнопку «Add IPSec VPN Tunnel»

Далее нам нужно ввести название туннеля и задать некоторые его параметры:

• Local Secure Group — группа компьютеров локального сегмента, которые будут иметь доступ к туннелю. В нашем случае мы разрешаем доступ к туннелю всем компьютерам локального сегмента: 192.168.1.0/24
• Remoute Secure Group — группа компьютеров на другом конце туннеля, которая будет иметь доступ к туннелю. В нашем случае мы оставляем это поле пустым, так как нам заранее неизвестна эта группа. Если бы адреса назначались статически — в этом поле можно было бы указать 10.0.0.75/32.
• Remote Secure Gateway — IP-адрес другого конца VPN туннеля, с которым будет связываться роутер если компьютер из Local Secure Group начнет обращаться к компьютеру из Remote Secure Group. Если этот компьютер получает динамический адрес — роутер не может с ним связаться и ждет, пока этот компьютер сам попробует установить IPSEC-соединение с роутером. В этом случае здесь должен стоять адрес 0.0.0.0. Если бы адреса назначались статически — в этом поле можно было бы указать 10.0.0.75.
• Encryption — выбор алгоритма шифрования. ОС Windows XP из представленных здесь методов поддерживает только 3DES.
• Authentication — выбор метода проверки целостности MD5 или SHA1 — оба они поддерживаются в Windows XP.
• Key Lifetime — время жизни ключа. Во время установки IPSEC VPN-соединения вырабатываются ключи, по которым ведется шифрование, для большей безопасности ключи периодически меняются. В этом поле указывается время (в секундах), после которого ключ должен быть заменен.
• Pre-Shared Key — предварительный ключ. Для данного примера предварительным ключом будет фраза «sekret». Эта фраза должна совпадать на обоих концах туннеля (на компьютере с Windows XP и на роутере).

В завершение настройки IPSEC-туннеля на роутере жмем «Add»,

после чего наш туннель добавлен в список и имеет статус Enable:

На этом установка IPSEC-туннеля на роутере закончена.

За установку IPSEC соединений в Windows отвечает так называемая «Консоль управления Microsoft» (Microsoft Management Console), которую можно вызвать набрав команду mmc (mmc.exe).

Общий вид консоли показан на следующем рисунке:

Эта консоль позволяет нам добавлять или удалять так называемые «оснастки»:

Для управления IPSEC соединениями в Windows XP мы должны добавить оснастку «Управление политикой безопасности IP»:

После нажатия кнопки «добавить» мы должны указать, что политика безопасности применяется на локальном компьютере и жмем кнопку «Готово»:

Все необходимые «оснастки» мы добавили, поэтому жмем кнопку «Закрыть»:

В корне консоли у нас появляется оснастка «Политики безопасности IP на Локальный компьютер», жмем «ОК» :

Далее выбираем в левом окне консоли оснастку «Политики безопасности IP на Локальный компьютер», а в правом окне видим несколько предопределенных, стандартных для Windows политик. Все эти политики по умолчанию не активны и никак не влияют на настраиваемое нами IPSEC соединение.

Нам нужно добавить собственную политику безопасности. Для этого в свободном месте правого окна щелкаем правой кнопкой мыши и выбираем пункт «Создать политику безопасности IP» как показано на следующем рисунке. Задание политики нужно для указания ОС что делать с трафиком, идущим в удаленную сеть или из нее.

Запускается мастер добавления новой политики IP, жмем «далее»:

Нам необходимо ввести название политики безопасности (в данном случае я назвал ее «VPN»):

На следующем экране мастер предлагает использовать правило по умолчанию. Мы создаем собственные правила, поэтому снимаем галочку «использовать правило по умолчанию»:

Ставим галочку «изменить свойства», чтобы начать редактировать политику сразу по завершении мастера и жмем «Готово»:

Мы попадаем в окно редактирования политики. Политика безопасности представляет собой набор правил, которые используются при связи с другими компьютерами в сети. Все правила мы будем задавать вручную, поэтому снимаем галочку «использовать мастер» и жмем кнопку «Добавить» для добавления нового правила:

Окно редактирования правил показано на следующем рисунке. Нам нужно добавить список фильтров для указания к какому трафику применяется правило. Жмем «Добавить»:

Список фильтров можно задать используя несколько фильтров; в нашем случае нам нужно создать список из одного фильтра. Называем наш список фильтров «WinXP -> WMU-9000VPN» (обрабатывается трафик, идущий от машины с WIndows XP к роутеру OvisLink WMU-9000VPN) и жмем кнопку «Добавить» чтобы добавить фильтр:

Фильтры можно задавать по адресу источника пакетов, адресу назначения пакетов, по используемому протоколу и порту (только для TCP и UDP). В нашем случае мы хотим зашифровать весь трафик, идущий от нашей машины с WinXP в сеть, спрятанную за роутером (192.168.1.0/24). Для этого в качестве адреса источника пакетов выбираем «Мой IP-адрес», а в качестве адреса назначения пакетов — выбираем «Определенная подсеть IP», указываем адрес сети 192.168.1.0 и маску подсети 255.255.255.0 (что равносильно «/24»). Ставим галочку «Отраженный» («Mirrored») и жмем «ОК»:

После этого наш фильтр появляется в списке фильтров «WinXP -> WMU-9000VPN», жмем «ОК»:

Для используемого правила выбираем созданный нами список фильтров («WinXP -> WMU-9000VPN») и переходим к вкладке «Действие фильтра»:

На вкладке «Действие фильтра» выбираем действие «Require Security» (требовать безопасность), снимаем галочку «Использовать мастер» и жмем кнопку «Изменить»:

Выбираем «Согласовать безопасность», снимаем галочку «Принимать небезопасную связь, но отвечать с помощью IPSEC» и ставим галочку «Сеансовые циклы безопасной пересылки (PFS)». Этими установками мы не позволяем работать без шифрования — все незащищенные соединения будут отклонены.

Установки методов безопасности представляют перебираемые по порядку (сверху вниз) методы шифрования и проверки целостности пакетов. В Windows XP поддерживаются два алгоритма шифрования (DES и 3DES) и два метода проверки целостности (MD5 и SHA1). Неиспользуемые методы можно удалить.

Алгоритм шифрования DES (56 бит) уже считается недостаточно защищенным и, скорее всего, оставлен для совместимости. Ему на смену пришел алгоритм 3DES, который представляет собой 3 раза подряд примененный алгоритм DES и, следовательно, этот алгоритм имеет в 3 раза более длинный ключ защиты.

Метод проверки целостности представляет собой хеш-функцию. SHA1 считается более защищенным.

После выполнения всех необходимых действий жмем «ОК» и переходим к вкладке «Параметры туннеля»:

Защищенный туннель создается между нашим компьютером с Windows XP и роутером. Далее, в LAN-сегменте за роутером, трафик уже не зашифрован. Поэтому крайними точками туннеля являются компьютер с WinXP (10.0.0.75) и WAN-интерфейс роутера (10.0.0.78).

На следующем рисунке нам нужно указать конечную точку туннеля в направлении передачи трафика. Для созданного нами правила трафик идет от компьютера с Windows XP к роутеру (WinXP -> WMU-9000VPN), поэтому конечной точкой туннеля для этого правила будет IP-адрес WAN-интерфейса роутера. Вписываем адрес WAN-интерфейса (10.0.0.78) и переходим на вкладку «Методы проверки подлинности»:

VPN — соединение устанавливается в несколько этапов. На первом этапе происходит согласование политик и выработка ключей для шифрования. В простейшем случае, для защиты на этом этапе используется механизм предварительного ключа PSK (Pre Shared Key), который должен совпадать на обоих концах IPSEC туннеля. На роутере в качестве PSK мы указали фразу «sekret»

Для установки предварительного ключа жмем кнопку «Изменить»:

Выбираем пункт «Использовать данную строку (предварительный ключ)» и вводим фразу, которую прописали на роутере (фраза «sekret»). В завершение жмем на «ОК»:

Далее нам нужно добавить еще одно правило к политике, которое будет отвечать за трафик от роутера к машине с WinXP. Для этого нажимаем кнопку «Добавить»:

Для создания еще одного списка фильтров жмем кнопку добавить:

Называем список фильтров «WMU-9000VPN -> WinXP» и нажимаем кнопку «Добавить» для добавления нового фильтра в список фильтров:

Теперь адреса источника и назначения меняются на противоположные. Фильтр учитывает трафик от сети, спрятанной за роутером OvisLink WMU-9000VPN (192.168.1.0/24), к компьютеру с WinXP (10.0.0.75). В пункте «Адрес источника пакетов» выбираем пункт «Определенная подсеть IP» и вписываем адрес сети вместе с маской (192.168.1.0/255.255.255.0), а в пункте «Адрес назначения пакетов» выбираем пункт «Мой IP-адрес». Ставим галочку «отраженный» и жмем «ОК»:

В списке фильтров появляется созданное нами правило, жмем «ОК»:

Выбираем среди списков созданный нами фильтр «WMU-9000VPN -> WinXP» и переходим к вкладке «Действие фильтра»:

Выбираем пункт «Require security» (требовать безопасность) и жмем на кнопку «Изменить»:

В этом окне все пункты должны быть выставлены как на следующем рисунке, нажимаем «ОК» и переходим к вкладке «Параметры туннеля»:

Здесь мы должны указать конечную точку туннеля. В нашем случае трафик идет от роутера OvisLink WMU-9000VPN (10.0.0.78) к компьютеру с WinXP (10.0.0.75), поэтому конечной точкой туннеля будет выступать адрес нашего компьютера с Windows XP — 10.0.0.75 — вводим эти данные в окне. Далее переходим к вкладке «Методы проверки подлинности» и жмем на кнопку «Изменить»:

Как и при создании первого правила в политике безопасности выбираем использование предварительного ключа и вводим ту же самую строку «sekret», после чего жмем на «OK»:

Жмем на кнопку «Закрыть»:

Выбираем оба созданных нами правила («WinXP -> WMU-9000VPN» и «WMU-9000VPN -> WinXP») и жмем на кнопку «Закрыть»:

Политика безопасности «VPN» теперь полностью создана, и нам остается ее только включить. Для включения политики «VPN» щелкаем на ней в правом окне правок кнопкой мыши и выбираем пункт «Назначить»:

Теперь весь трафик, который будет адресоваться между сетью «192.168.1.0/24» и компьютером 10.0.0.75 должен перенаправляться в туннель установленный между роутером и компьютером с Windows XP (10.0.0.78 — 10.0.0.75) и шифроваться по выбранному алгоритму. Windows XP не создает туннеля до тех пор пока он не понадобится (пока компьютер с Windows не обратится к компьютеру локального сегмента), но тут мы сталкиваемся с одной из особенностей Windows XP: несмотря на то, что мы прописали в Windows все параметры IPSEC туннеля, Windows не знает куда посылать пакеты с адресами назначения 192.168.1.0/24, но при этом понимает, что самое время установить туннель с роутером. Получается следующая ситуация — туннель создается, но трафик по нему не идет.

Компьютеры локального сегмента не пингуются, но при этом видно, что согласование политик происходит, о чем свидетельствует надпись «Согласование используемого уровня безопасности IP». Если надпись «Согласование используемого уровня безопасности IP» выводится только один раз &mdsah; значит, политика безопасности принята и туннель установлен; в случае если допущена ошибка (например, предварительные ключи не совпадают или заданы различные алгоритмы шифрования) — при каждой попытке пропинговать компьютер из локального сегмента будет производиться попытка установления VPN-соединения (то есть для данного случая надпись «Согласование используемого уровня безопасности IP» будет выведена 4 раза).

Роутер показывает, что туннель создан:

Для обхода этой особенности Windows нам нужно вручную прописать путь к сети 192.168.1.0/24: шлюзом для этой сети будет служить WAN-адрес роутера (10.0.0.78). Для добавления записи в таблицу маршрутизации на компьютере с Windows XP воспользуемся командой route:

route add 192.168.1.0 mask 255.255.255.0 10.0.0.78

Теперь все прекрасно работает: происходит согласование политик, устанавливается туннель, трафик идет через этот туннель.

Подытоживая можно выделить несколько стадий настройки IPSEC VPN-соединения:

• настройка параметров туннеля на роутере
• создание политики безопасности IP на компьютере с Windows
• создание правила для трафика, идущего от роутера к компьютеру с Windows
• создание правила для трафика, идущего от компьютера с Windows к роутеру
• задание статического маршрута к сети за роутером на машине с Windows

Необходимо также помнить, что рассматриваемый роутер позволяет создавать не более 100 IPSEC VPN туннелей.

Установка PPTP соединений в Microsoft Windows XP:

Здесь будет рассмотрена установка PPTP соединений в операционной системе Microsoft Windows XP SP2 ENG с установленным русским MUI.

PPTP (Peer-to-peer protocol) — протокол типа точка-точка. Подробное описание протокола не является целью этой статьи и может быть найдено в Интернет, но из особенностей стоит отметить, что PPTP клиенту выдается IP-адрес, по которому и происходят все VPN соединения.

В отличие от IPSEC-соединений PPTP-соединения значительно проще настроить, но они не обладают таким уровнем безопасности как IPSEC.

Для настройки роутера OvisLink WMU-9000VPN в веб-интерфейсе выбирается пункт «VPN», далее «PPTP Server Setting». Принципиальных отличий от установки PPTP-соединений в других роутерах нет.

Мы попадаем в меню настройки сервера PPTP, выбираем Local IP Address (диапазон локальных адресов, доступных удаленным пользователям) и Remote IP Address (диапазон IP-адресов, выдаваемых пользователям, подключающимся удаленно). В нашем случае я задал Local IP Address: 192.168.1.1-200 и Remote IP Address: 192.168.33.1-10. Для подтверждения жмем на кнопку «Set». Далее заводим пользователя «root» с паролем «1234», для подтверждения жмем кнопку «Set»:

На этом настройка PPTP-сервера завершена.

Для установки PPTP соединений в Windows XP используем «Мастер новых подключений», нажимаем кнопку «Далее»:

Выбираем пункт «Подключить к сети на рабочем месте» и жмем «Далее»:

Выбираем пункт «Подключение к виртуальной частной сети» и жмем «Далее»:

Тут нужно ввести название соединения и нажать «Далее»:

Так как мы подключаемся по локальной сети, то предварительное установление другого (PPTP или PPP) соединения не требуется.

IP-адрес компьютера, к которому осуществляется подключение — адрес PPTP-сервера (в нашем случае 10.0.0.78)

Далее нам нужно ввести имя пользователя и пароль, заданные на роутере («root» и «1234»), для настройки дополнительных параметров жмем «Свойства» и выбираем вкладку «Безопасность»:

Здесь у нас довольно большой набор параметров, но в большинстве случаев достаточно использования параметров по умолчанию. Роутер OvisLink WMU-9000VPN не поддерживает шифрования, когда выступает в роли PPTP VPN-сервера, поэтому на этой вкладке нам нужно снять галочку «Требуется шифрование данных (иначе отключаться)». В завершение жмем «OK»:

Далее жмем на кнопку «Подключение» для установления соединения:

Теперь все должно работать. При наших настройках IP-адрес назначается автоматически и должен принадлежать диапазону «Remote IP Address» (в нашем случае это 192.168.33.1–192.168.33.10). Также рекомендую не забывать, что наш роутер позволяет устанавливать не более 10 PPTP-соединений