Настройка VPN PPTP на микротик(Mikrotik)

В этой статье я расскажу как настроить маршрутизатор Mikrotik hap серии RB951Ui-2ND (mipsbe)

1. Создаем пул адресов, которые будут выдаваться клиентам. Заходим в меню IP-Pool. и создаем пул, пишем любое логичное название и прописываем диапазон, например 192.168.15.10-192.168.15.50. Это адреса, которые будут выдаваться клиентам. В моем варианте, это адрес не основной сети. Основная сеть 192.168.1.0/24. Потом будет настроена маршрутизация за счет NAT(это будет односторонний доступ). Если создать пул из вашей рабочей сети, то будет меньше танцев с бубном.

2. Далее идем в основное меню, во вкладку PPP, и переходим в Profiles, жмем плюсик и создаем новый профиль, придумываем название. В Local Address прописываем ip нашего PPTP сервера, например, 168.15.1, а в Remote Address выбираем ранее созданный профиль в Pool. В Bridge подставляем бридж интерфейс, который вы создавали ранее, когда объединяли интерфейсы, если такое было.
   Здесь же, переходим на вкладку Protocols и поставим галочку в yes, раздела Use Encryption, после чего жмем ОК.
3. Переходим в Interface, кликаем по вкладке PPTP Server и ставим галочку в Enabled, а в Default Profile выбираем созданный ранее профиль из пункта 2(см.выше). Жмем ОК.
4. Переходим во вкладку Secrets, жмем плюсик, и создаем нового пользователя, придумываем логин, пароль, в Service выбираем pptp, в Profile выбираем созданный ранее профиль из пункта 2(см.выше). Жмем ОК.
5. Если мы выбрали пул из адресного пространства рабочей сети, то, чтобы она была доступна для VPN клиентов, нужно перейти в основное меню – Interfaces, и в интерфейсе, который смотрит в вашу сеть, в пункте ARP выбрать proxy_arp, это можно поставить и в bridge интерфейсе.
6. И последнее, это разрешим доступ к порту 1723. Открываем IP – Firewall, вкладка Filter Rules. Нажимаем плюсик, и на вкладке General в Chain выбираем input, Protocol – tcp, Dst.Port – 1723. На вкладке Action проверяем, чтобы стояло – accept.

 Этого будет достаточно, чтобы могли подключатся пользователи по VPN.

Если у VPN клиентов другое адресное пространство, то один из вариантов, сделать для них доступной основную сеть, –  настроить nat(это будет односторонний доступ). Такой вариант настройки я использовал, потому что в основной сети, шлюз у пользователей отличался от ip микротика.

• Открываем IP – Firewall, вкладка NAT в Chain выбираем srcnat, Src. Address 168.15.0/24 (это адрес пула сети, которую мы присваиваем vpn клиентам), а в Out. Interface  можно выбрать бридж или лан интерфейс. На вкладке Action выбираем masquerade.

Примечание: Правило срабатывает не сразу, нужно немного подождать, где-то 30сек.