Настройка VPN подключения из Windows 10 до Mikrotik

В текущей заметке, я разберу, как из под Windows 10 Pro x64 настроить VPN подключение до домашней/рабочей сети где шлюз это оборудование на базе Mikrotik ( RB2011UiAS-2HnD ) версии 6.43. Кто будет смотреть ее не найдет ничего нового, это просто пошаговое руководство для самого себя.

Windows 10 Pro x64 (Version 10.0.17134.254) Настройка VPN подключения до Mikrotik

Исходные данные: средствами Mikrotik я получаю домен четвертого уровня, к примеру: 5281153fa719.sn.mynetname.net

• Далее через DNS записи своего блога www.ekzorchik.ru создаю CNAMEзапись вида: home.ekzorchik.ru = домен четвертого уровня . В Вашем случае если этого нет то либо покупать статический IP адрес, использовать DynDNS или что-либо еще у меня таких трудностей нет.
• По заметке поднимаю VPN/L2TP сервис на домашнем Mikrotik
• Создаю разрешающие правила и запрещающие

На системе под управлением Windows 10 Pro x64 настраиваю подключение к домашней сети посредством VPN соединения вида: l2tp + ipsec.

[stextbox style=»color: #ff00ff;»>На заметку: ну конечно же домена home.ekzorchik.ru нет в реальности, так что не пытайтесь подключиться или подобрать попадете в бан лист для блога, я увижу. [/stextbox]

Авторизуюсь в системе с использованием учетных записей администратора компьютера.

Win + R -> control.exe – (Просмотр: Категория) Мелкие значки – Центр управления сетями и общим доступом – «Создание и настройка нового подключения или сети» — «Подключение к рабочему месту» — «Использовать мое подключение к Интернету (VPN)»

• Адрес в интернете: home.ekzorchik.ru
• Имя объекта назначения: home
• Запомнить учетные данные: отмечаю галочкой

И нажимаю «Создать» окна «Подключение к рабочему месту», после перехожу на «Изменение параметров адаптера», по созданному подключению с именем «home» через правый клик мышью выбираю элемент «Свойства», затем вкладка «Безопасность»:

• Тип VPN: Протокол L2TP с IPsec (L2TP/IPsec)
• Потом «Дополнительные параметры» и указываю ключ ipsec
• «Для проверки подлинности использовать общий ключ»: Ключ : Aa1234567@!

После нажимаю «Разрешить следующие протоколы»: «Протокол Microsoft CHAP версии 2 (MS-CHAP-2)» и нажимаю ОК окна home: свойства, затем снова на созданном подключении home через правый клик мышью выбираю, но уже «Подключить/отключить», указываю логин и пароль и вуаля подключение к домашней сети успешно настроено.

Дальше уже в зависимости как настроен VPN и правила фаервола я получаю доступ к домашней сети/рабочей сети.

А так все шаги выполнены успешно. На этом я прощаюсь, с уважением автор блога Олло Александр aka ekzorchik.

Windows 10 не подключается pptp mikrotik

Бесплатный чек-лист
по настройке RouterOS
на 28 пунктов

PPPtP и Windows 10

Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку «Действия до настройки роутера».
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.

А вот неожиданно обнаружилось, что клиенты на Windows 10 при попытке подключиться к микротику по PPtP не подключаются.
В логах микротика только поптыка подкючения.
А в логах винды вот это:

При этом микротик-микротик по pptp работает прекрасно.
Эта же винда и этот же микротик по L2TP — тоже без проблем.

MikroTik.by

For every complex problem, there is a solution that is simple, neat, and wrong.

Не подключается к VPN PPTP

Не подключается к VPN PPTP

Сообщение e.sipovich » 24 окт 2018, 09:56

Доброго времени суток.

Не могу настроить подключение к VPN. Вроде всё делаю по инструкции, но комп не хочет подключаться к впн.

RB952Ui работает в режиме бриджа. Хочу поднять там впн сервер и подключаться на него с компа. Сервер вроде подымается, но подключится не могу. При подключении по впн выдаёт ошибку 807.
Вот сами настройки роутера:
https://ibb.co/bx6r1V

Объясните, что делаю не так?

Re: Не подключается к VPN PPTP

Сообщение Chupaka » 24 окт 2018, 13:20

В логе роутера что при попытке подключения?

Нет ли желания выбрать Local и Remote-адреса так, чтобы они не пересекались с текущими подсетями роутера?

Re: Не подключается к VPN PPTP

Сообщение e.sipovich » 24 окт 2018, 16:24

В логе роутера ничего не происходит.
Пробовал всякие уже Local и Remote-адреса. И принадлежащие подсетям и вообще левые с головы.

Где-то на форумах читал, что у человека с идентичной как у меня проблемой «не был прописан дефольный маршрут до гейта провайдера.»
Возможно в этом и моя проблема, но я не понял что это значит и как решить.

Re: Не подключается к VPN PPTP

Сообщение Chupaka » 24 окт 2018, 17:03

Вы на скриншоте очень удачно скрыли счётчики в правилах файрвола, поэтому отдельно покажите и их: ловят ли правила хоть какие пакеты?

Про адресацию вашу мы ничего не знаем, распишите топологию и адреса

Обновиться не хотите? Там некоторое количество уязвимостей было исправлено с вашей версии до актуальной.

Re: Не подключается к VPN PPTP

Сообщение e.sipovich » 24 окт 2018, 17:31

https://ibb.co/fcQfDA
Пакеты не ловятся никакие при разных настройках Local и Remote-адреса

Топология:
Провайдер (статика)-роутер MT-PON-AT-4(192.168.190.1)-сервер(192.168.33.1)-микротик(192.168.88.1)-комп(192.168.33.121)
На сервере стоит керио, через который раздаётся инет.

Обновлюсь позже, когда решу проблему с впн.

Почему не отрабатывается подключение по pptp на mikrotik?

Настроил на микротике pptp сервер с авторизацией через AD
как в этой статье
https://habrahabr.ru/sandbox/58551/
в Firewall Rles добавил правила в начало
1 ;;; PPTP
chain=input action=accept protocol=tcp dst-address=адресроутера
in-interface=ether1 dst-port=1723 log=yes log-prefix=»»

2 chain=input action=accept protocol=gre dst-address=адресроутера
in-interface=ether1 log=no log-prefix=»»

однако подключения не происходит.
Подскажите пожалуйста где я ошибся?

• Вопрос задан более трёх лет назад
• 838 просмотров

Хабра:
Какие задействованы порты на нашем Radius-сервере можно посмотреть в свойствах Сервера политики сети
Диспетчер сервера – Роли – Службы политики сети и доступа — NPS (Локально) правой кнопкой мыши Свойства

Эти порты открыты? Запрещающие правила есть?

на радиусе дефолтные 1812,1813
вот все правила.

/ip firewall filter
add action=accept chain=input comment=PPTP dst-port=1723 log=yes log-prefix=»pptp 1723″ protocol=tcp
add action=accept chain=input log=yes log-prefix=»pptp gre» protocol=gre
add action=accept chain=input comment=»WinBox REMOTE» dst-port=8291 in-interface=ether1 protocol=tcp
add action=accept chain=input comment=»defconf: accept established,related,untracked» connection-state=established,related,untracked
add action=drop chain=input comment=»defconf: drop invalid» connection-state=invalid
add action=accept chain=input comment=»defconf: accept ICMP» protocol=icmp
add action=drop chain=input comment=»defconf: drop all not coming from LAN» in-interface-list=!LAN
add action=accept chain=forward comment=»defconf: accept in ipsec policy» ipsec-policy=in,ipsec
add action=accept chain=forward comment=»defconf: accept out ipsec policy» ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment=»defconf: fasttrack» connection-state=established,related
add action=accept chain=forward comment=»defconf: accept established,related, untracked» connection-state=established,related,untracked
add action=drop chain=forward comment=»defconf: drop invalid» connection-state=invalid log=yes log-prefix=13drop
add action=drop chain=forward comment=»defconf: drop all from WAN not DSTNATed» connection-nat-state=!dstnat connection-state=new in-interface-list=WAN

🐹 MikroTik: VPN сервер PPTP и подключение клиента на Windows.

Опубликовано 2019-09-07 · Обновлено 2020-09-20

Содержание:

Хочешь уметь больше? Научиться тонкостям настройки MikroTik можно из русскоязычного онлайн-курса по MikroTik от автора курсов Дмитрия Скромнова. Здесь можно изучить MikroTik и RouterOS самостоятельно по курсу «Настройка оборудования MikroTik». Курс основан на официальной программе MTCNA, но содержит больше информации. Это 162 видеоурока и большая практическая задача, разбитая на 45 лабораторных работ. Время на изучение неограниченно – все материалы передаются бессрочно и их можно пересматривать сколько нужно. Первые 25 уроков можно посмотреть бесплатно, оставив заявку на странице курса.

1. Постановка задачи.

Нужно чтобы можно было откуда угодно иметь возможность настроить VPN подключение и получить доступ к домашним сервисам.

Доступ к домашней сети будет организован посредством протокола PPTP, он представляет из себя связку протокола TCP (для передачи данных) и GRE (для обертывания пакетов).

2. Схема организации туннеля до домашнего MikroTik.

• Мне провайдер предоставляет статический IP-адрес.
• На MikroTik создаем туннель.
• На MikroTik создаем профили удаленного подключения (Логин и Пароль).
• На MikroTik создаем правила Firewall маршрутизации чтобы пройти сквозь брандмауэр.

3. Активация PPTP сервера.

Первым делом подключаюсь через WinBox к своему MikroTik’у и активирую PPTP сервер:

WinBOX — меню PPP — вкладка Interface, после нажимаю PPTP Server:

Enabled: отмечаю галочкой

MAX MTU: 1450

MAX MRU: 1450

Keepalive Timeout: 30

Default Profile: default

Authentication: должно быть отмечено только — mschap1 & mschap2

4. Создание пользователя удаленного подключения.

Теперь создаем пользователей удаленного подключения:

В разделе PPP переходим в меню Secrets и добавляем нового пользователя «Add»:

Name: vpn-user

Password: Aa1234567@@. (советую ставить пароль посложнее)

Service: pptp

Profile: default-encryption

Local Address: пишем IP-адрес MikroTik, который будет выступать в роли Сервера VPN (192.168.0.1)

Remote Address: пишем IP-адрес пользователя (192.168.0.99)

Как только настройки произведены нажимаем «Apply» и «OK» для применения и сохранения.

5. Настройка правил для Firewall.

Теперь переходим к настройке правил для Firewall роутера MikroTik, чтобы он пропускал удаленные авторизованные подключения.

6. Открываем порт 1723 (для TCP-протокола) в Firewall.

WinBox — IP — Firewall — вкладка Filter Rules — «Add»:

Вкладка General:

Chain: input

Protocol: 6 (tcp)

Dst. Port: 1723

Вкладка Action:

Action: accept

7. Открываем правило GRE в Firewall.

WinBox — IP — Firewall — вкладка Filter Rules — «Add»:

Вкладка General:

Chain: input

Protocol: 47 (gre)

Вкладка Action:

Action: accept

Как выглядит Firewall в MikroTik

Так выглядят правила в WinBox’е:

На заметку: по умолчанию создаваемые правила помещаются в конец общего списка, а их нужно переместить наверх перед всеми запрещающими правилами, если этого не сделать работать они не будут.

8. Подключение клиента Windows 10.

Пуск — Панель управления — Сеть и Интернет — Центр управления сетями и общим доступом — Создание и настройка нового подключения или сети — Подключение к рабочему месту — Использовать мое подключение к Интернету (VPN):

• Адрес в интернете: указываю внешний IP&DNS адрес выделяемый мне провайдером.
• Имя объекта назначения: VPN-HOME.
• Разрешить использовать это подключение другим пользователям: отмечаю галочкой.

Нажимаем ОК и далее переходим в Пуск — Параметры — Сеть и Интернет — VPN . Выбираем наше созданное подключение в списке возможных подключений. Открываем Дополнительные параметры — Изменить.

Заполняем анкету соединения по смыслу. После указываю имя пользователя и пароль на удаленный доступ (данные идентификационные данные были введены выше):

Пользователь: vpn-user
Пароль: Aa1234567@@.
Запомнить этот пароль: отмечаю галочкой

Жмем Сохранить данные.

И после нажимаю «Подключить», если все сделано правильно то подключение будет установлено:

Также можно проверить, открыв оснастку «Центр управления сетями и общим доступом»

Также можно проверить, открыв консоль командной строки и отобразив IP адреса текущих сетевых адаптеров используем командную строку и Win + R введем в нее команду cmd.exe:

Далее свяжемся с точкой входа в VPN сеть:

Что теперь ну подключен я по VPN к дому, а что мне это дает?

А то что теперь можно к примеру запустить браузер и подключиться к домашним ресурсам, если настроено удаленное включение компьютеров через Wake On Lan, то посредством запросов их можно включить, а после либо по VNC, RDP подключиться к ним.

Чтобы отключиться от VPN соединения, нужно возле часиков справа видите монитор с сетевой вилкой, нажимаете по нему левой кнопкой мыши, находите Ваше подключенное VPN соединение, наводите на него мышь (подключение выделяется) и через правый клик мышью выбираете меню «Отключить», а чтобы подключить все то же самое но выбираете меню «Подключить» — «Подключение».

Это все конечно же хорошо, а если Ваш провайдер не выдает Вам статический IP-адрес как у меня, как же быть?

Но в этом Вам повезло, т. к. в самом MikroTik есть служба на подобии DynDNS или No-IP, которая может предоставить DNS ссылку доступа к MikroTik’у из вне:

WinBox — IP&MAC — перехожу в раздел Quick Set, отмечаю галочкой VPN Access

Указываю пароль (VPN Password) и что я вижу, у меня есть внешний адрес вот в таком вот формате: .sn.mynetname.net, дефолтное имя пользователя и пароль которые я ввел только что выше.

Будет выведена таблица пинга.

Открываем меню настройки PPP, включаем его и при создании нового пользователя указываем: Name (VPN), Password (то что указали выше), Service (pptp), Profile (default-encryption), Local Address (192.168.1.9), Remote Address (192.168.1.101) и нажимаем «Apply» и «OK».

После проверяю настройки подключения с рабочей станции только вместо статического IP адреса уже указываю DNS-ссылку: .sn.mynetname.net и подключение также успешно проходит.

Итого, как оказалось на MikroTik достаточно быстро можно поднять PPTP сервис, посредством которого можно быстро начать пользоваться VPN-соединением. Такие настройки одинаково работают, как для дома так и для корпоративной сети, в этом собственно и большой плюс данного вида оборудования, купив раз с запасом получаем инструмент где можно реализовать многое, а для малой компании это будет существенным подспорьем.

9. Оригиналы источников информации.

1. ekzorchik.ru «Откуда угодно подключаемся к домашней сети».

Хочешь уметь больше? Научиться тонкостям настройки MikroTik можно из русскоязычного онлайн-курса по MikroTik от автора курсов Дмитрия Скромнова. Здесь можно изучить MikroTik и RouterOS самостоятельно по курсу «Настройка оборудования MikroTik». Курс основан на официальной программе MTCNA, но содержит больше информации. Это 162 видеоурока и большая практическая задача, разбитая на 45 лабораторных работ. Время на изучение неограниченно – все материалы передаются бессрочно и их можно пересматривать сколько нужно. Первые 25 уроков можно посмотреть бесплатно, оставив заявку на странице курса.