Ero sivun ”RouterOS VPN” versioiden välillä
(21 välissä olevaa versiota 2 käyttäjän tekeminä ei näytetä) | |||
Rivi 1: | Rivi 1: | ||
+ | |||
+ | <languages/> | ||
+ | <translate> | ||
+ | <!--T:1--> | ||
RouterOS käyttöjärjestelmässä on kätevä luoda erilaisia tunneleita. Asiakasmäärät on rajoitettu käytettävän lisenssin mukaan. Lisätietoa rajoituksista: http://wiki.mikrotik.com/wiki/Manual:License#License_Levels | RouterOS käyttöjärjestelmässä on kätevä luoda erilaisia tunneleita. Asiakasmäärät on rajoitettu käytettävän lisenssin mukaan. Lisätietoa rajoituksista: http://wiki.mikrotik.com/wiki/Manual:License#License_Levels | ||
− | == PPTP Palvelin == | + | == PPTP Palvelin == <!--T:2--> |
+ | <!--T:3--> | ||
PPTP on helposti ja kätevästi hyödynnettävä tunnelointiprotokolla mikrotikillä. | PPTP on helposti ja kätevästi hyödynnettävä tunnelointiprotokolla mikrotikillä. | ||
+ | <!--T:4--> | ||
1. Ensin tehdään IP-verkkoalue pptp:tä varten | 1. Ensin tehdään IP-verkkoalue pptp:tä varten | ||
+ | ip pool add name=PPTP address=10.10.10.0/29 | ||
+ | |||
+ | <!--T:5--> | ||
Avaa vasemmasta valikosta IP -> Pool -> Add pool | Avaa vasemmasta valikosta IP -> Pool -> Add pool | ||
+ | <!--T:6--> | ||
Määritetään kuvamukaisesti: | Määritetään kuvamukaisesti: | ||
− | Name: PPTP | + | <!--T:7--> |
+ | Name: PPTP | ||
Addresses: 10.10.10.0/29 | Addresses: 10.10.10.0/29 | ||
+ | <!--T:8--> | ||
Name = Poolin nimi (nimeä itse) | Name = Poolin nimi (nimeä itse) | ||
Addresses = Verkko-osoite, jota käytetään PPTP tunnelissa. Esimerkissä käytämme 10.10.10.0/29 verkkoa, jossa 6 IP-osoitetta käytettävissä (verkkomaski on 255.255.255.248). | Addresses = Verkko-osoite, jota käytetään PPTP tunnelissa. Esimerkissä käytämme 10.10.10.0/29 verkkoa, jossa 6 IP-osoitetta käytettävissä (verkkomaski on 255.255.255.248). | ||
+ | <!--T:9--> | ||
[[Tiedosto:pptpserveri.jpg]] | [[Tiedosto:pptpserveri.jpg]] | ||
+ | <!--T:10--> | ||
2. Otetaan käyttöön PPTP Server | 2. Otetaan käyttöön PPTP Server | ||
+ | interface pptp-server server set enabled=yes | ||
+ | |||
+ | <!--T:11--> | ||
Avaa vasemmasta valikosta PPP -> Interface -> PPTP-server | Avaa vasemmasta valikosta PPP -> Interface -> PPTP-server | ||
+ | <!--T:12--> | ||
[[Tiedosto:pptpserveri2.jpg]] | [[Tiedosto:pptpserveri2.jpg]] | ||
+ | <!--T:13--> | ||
3. Luodaan uusi profiili | 3. Luodaan uusi profiili | ||
+ | |||
+ | |||
+ | <!--T:14--> | ||
PPP -> Profiles -> Add Profile | PPP -> Profiles -> Add Profile | ||
+ | <!--T:15--> | ||
# PPTP-profiilin nimi | # PPTP-profiilin nimi | ||
# Tähän laitetaan luomamme osoitepoolin nimi | # Tähän laitetaan luomamme osoitepoolin nimi | ||
# DNS palvelimen(helpoiten toimii julkinen DNS) IP-osoite. Esim: Googlen DNS palvelin 8.8.8.8 | # DNS palvelimen(helpoiten toimii julkinen DNS) IP-osoite. Esim: Googlen DNS palvelin 8.8.8.8 | ||
+ | <!--T:16--> | ||
[[Tiedosto:pptpserveri3.jpg]] | [[Tiedosto:pptpserveri3.jpg]] | ||
+ | <!--T:17--> | ||
4. Luodaan uusi käyttäjä ja konfiguroidaan se. | 4. Luodaan uusi käyttäjä ja konfiguroidaan se. | ||
+ | <!--T:18--> | ||
PPP -> Secrets -> Add Secret | PPP -> Secrets -> Add Secret | ||
+ | <!--T:19--> | ||
Name = Käyttäjännimi | Name = Käyttäjännimi | ||
+ | <!--T:20--> | ||
Password = Käyttäjän salasana | Password = Käyttäjän salasana | ||
+ | <!--T:21--> | ||
Services = Palvelut jossa käyttäjätili on käytössä | Services = Palvelut jossa käyttäjätili on käytössä | ||
+ | <!--T:22--> | ||
Profiilina käytetään juuri luomaamme PPTP nimistä profiilia. | Profiilina käytetään juuri luomaamme PPTP nimistä profiilia. | ||
+ | <!--T:23--> | ||
[[Tiedosto:pptpserveri4.jpg]] | [[Tiedosto:pptpserveri4.jpg]] | ||
− | 5. Avataan portteja, jotta pptp:tä voi hyödyntää ulkoverkosta. | + | <!--T:24--> |
+ | 5. Avataan portteja, jotta pptp:tä voi hyödyntää ulkoverkosta. Varmista että luomasi palomuurisääntö on samassa kohtaa kuvaa! | ||
+ | <!--T:25--> | ||
Ip -> Firewall -> Filter Rules -> Add rule | Ip -> Firewall -> Filter Rules -> Add rule | ||
− | |||
+ | <!--T:27--> | ||
[[Tiedosto:pptpserveri5.jpg]] | [[Tiedosto:pptpserveri5.jpg]] | ||
− | == PPTP asiakas == | + | Salli GRE paketit palomuurista |
+ | |||
+ | /ip firewall filter add chain=input protocol=gre action=accept | ||
+ | |||
+ | == PPTP asiakas == <!--T:28--> | ||
− | Tehdään Site-to-Site vpn yhteys kahdella mikrotikillä | + | <!--T:29--> |
+ | Tehdään Site-to-Site (NAT) vpn yhteys kahdella mikrotikillä. | ||
− | === PPTP-clientin konfigurointi === | + | === PPTP-clientin konfigurointi === <!--T:30--> |
+ | <!--T:31--> | ||
[[Tiedosto:pptpclient1.png]] | [[Tiedosto:pptpclient1.png]] | ||
+ | <!--T:32--> | ||
Valitaan valikosta vasemmalta ''PPP''. | Valitaan valikosta vasemmalta ''PPP''. | ||
+ | <!--T:33--> | ||
1. Luodaan uusi interface valikosta | 1. Luodaan uusi interface valikosta | ||
+ | <!--T:34--> | ||
2. Valitaan PPTP client | 2. Valitaan PPTP client | ||
+ | <!--T:35--> | ||
[[Tiedosto:pptpclient2.png]] | [[Tiedosto:pptpclient2.png]] | ||
+ | <!--T:36--> | ||
3. Nimetään pptp asiakasyhteyden nimi | 3. Nimetään pptp asiakasyhteyden nimi | ||
+ | <!--T:37--> | ||
4. Asetetaan MAX mtu ja MAX mru. 1400 on sopiva | 4. Asetetaan MAX mtu ja MAX mru. 1400 on sopiva | ||
+ | <!--T:38--> | ||
[[Tiedosto:pptpclient3.png]] | [[Tiedosto:pptpclient3.png]] | ||
+ | <!--T:39--> | ||
5. Valitaan ylävalikosta ''Dial Out'' | 5. Valitaan ylävalikosta ''Dial Out'' | ||
+ | <!--T:40--> | ||
6. PPTP palvelimen ip osoite tai hostname | 6. PPTP palvelimen ip osoite tai hostname | ||
+ | <!--T:41--> | ||
7. Pistetään oikea käyttäjätunnus sekä salasana | 7. Pistetään oikea käyttäjätunnus sekä salasana | ||
+ | <!--T:42--> | ||
8. Raksi pois tästä kohdasta, tämä määrittää että yhteys katkeaa kun yhteys tippuu alas | 8. Raksi pois tästä kohdasta, tämä määrittää että yhteys katkeaa kun yhteys tippuu alas | ||
+ | <!--T:43--> | ||
9. Valitaan oikeat salaustavat | 9. Valitaan oikeat salaustavat | ||
− | === Palomuurisäännökset === | + | === Palomuurisäännökset === <!--T:44--> |
+ | <!--T:45--> | ||
[[Tiedosto:pptpclient4.png]] | [[Tiedosto:pptpclient4.png]] | ||
+ | <!--T:46--> | ||
10. Valitaan ''Firewall'' vasemmalta | 10. Valitaan ''Firewall'' vasemmalta | ||
+ | <!--T:47--> | ||
11. Valitaan ''NAT'' | 11. Valitaan ''NAT'' | ||
+ | <!--T:48--> | ||
12. Tehdään uusi NAT sääntö | 12. Tehdään uusi NAT sääntö | ||
+ | <!--T:49--> | ||
[[Tiedosto:pptpclient5.png]] | [[Tiedosto:pptpclient5.png]] | ||
+ | <!--T:50--> | ||
13. Valitaan srcnat | 13. Valitaan srcnat | ||
+ | <!--T:51--> | ||
14. Out. Interfaceksi pptp interface | 14. Out. Interfaceksi pptp interface | ||
+ | <!--T:52--> | ||
[[Tiedosto:pptpclient6.png]] | [[Tiedosto:pptpclient6.png]] | ||
+ | <!--T:53--> | ||
15. Valitaan ''Action'' | 15. Valitaan ''Action'' | ||
+ | <!--T:54--> | ||
16. Toiminnaksi ''masquerade'' | 16. Toiminnaksi ''masquerade'' | ||
+ | <!--T:55--> | ||
[[Tiedosto:pptpclient7.png]] | [[Tiedosto:pptpclient7.png]] | ||
+ | <!--T:56--> | ||
Tehdään uusi ''Mangle'' sääntö | Tehdään uusi ''Mangle'' sääntö | ||
+ | <!--T:57--> | ||
17. Chain prerouting | 17. Chain prerouting | ||
+ | <!--T:58--> | ||
18. Osoiteavaruus jonka halutaan menevän tunnelin läpi. | 18. Osoiteavaruus jonka halutaan menevän tunnelin läpi. | ||
+ | <!--T:59--> | ||
[[Tiedosto:pptpclient8.png]] | [[Tiedosto:pptpclient8.png]] | ||
+ | <!--T:60--> | ||
19. Siirrytään ''Action'' | 19. Siirrytään ''Action'' | ||
+ | <!--T:61--> | ||
20. Action ''Mark Routing'' | 20. Action ''Mark Routing'' | ||
+ | <!--T:62--> | ||
21. New Routing Mark: Haluamasi nimi. | 21. New Routing Mark: Haluamasi nimi. | ||
− | === Reititykset === | + | === Reititykset === <!--T:63--> |
+ | <!--T:64--> | ||
[[Tiedosto:pptpclient9.png]] | [[Tiedosto:pptpclient9.png]] | ||
+ | <!--T:65--> | ||
22. Tehdään uusi reitti | 22. Tehdään uusi reitti | ||
− | ==== Reitityksen voi tehdä monella tapaa ==== | + | ==== Reitityksen voi tehdä monella tapaa ==== <!--T:66--> |
Jos sinulla on korkea lähetysnopeus (yli 10 Mbps) ja haluat olla turvallisessa yhteydessä, kannattaa kaikki liikenne reitittää tunnelin kautta. Jos kuitenkin haluat että vain yhteydet tunnelin päässä olevaan verkkoon reitittyy tunnelin kautta ja muu taas paikallisen oletusyhdyskäytävän kautta kannattaa käyttää toista tapaa. | Jos sinulla on korkea lähetysnopeus (yli 10 Mbps) ja haluat olla turvallisessa yhteydessä, kannattaa kaikki liikenne reitittää tunnelin kautta. Jos kuitenkin haluat että vain yhteydet tunnelin päässä olevaan verkkoon reitittyy tunnelin kautta ja muu taas paikallisen oletusyhdyskäytävän kautta kannattaa käyttää toista tapaa. | ||
+ | <!--T:67--> | ||
[[Tiedosto:pptpclient10.png]] | [[Tiedosto:pptpclient10.png]] | ||
+ | <!--T:68--> | ||
23. Minne tämä reitittää. 0.0.0.0/24 reitittää kaikki paketit tunnelin kautta. | 23. Minne tämä reitittää. 0.0.0.0/24 reitittää kaikki paketit tunnelin kautta. | ||
+ | <!--T:69--> | ||
24. | 24. | ||
+ | <!--T:70--> | ||
25. Routing mark jonka teimme | 25. Routing mark jonka teimme | ||
+ | <!--T:71--> | ||
[[Tiedosto:pptpclient11.png]] | [[Tiedosto:pptpclient11.png]] | ||
+ | <!--T:72--> | ||
26. Jos haluat että vain liikenne tunnelin päässä olevaan sisäverkkoon kulkee tunnelin kautta, pistä tähän se verkkoavaruus. | 26. Jos haluat että vain liikenne tunnelin päässä olevaan sisäverkkoon kulkee tunnelin kautta, pistä tähän se verkkoavaruus. | ||
== VPN läpinäkyvänä siltana == | == VPN läpinäkyvänä siltana == | ||
+ | RouterOS mahdollistaa esimerkiksi yrityksen kaksi tai useamman toimiston verkkojen yhdistämisen yhdeksi verkoksi. Esimerkissä käytämme toimiston A:ssa VPN server ja toimisto B:ssä VPN Client. | ||
+ | |||
+ | Käytämme esimerkissämme seuraavia asetuksia: | ||
+ | |||
+ | Server (vpn-testi.taisto.org): | ||
+ | * Julkinen IP: 173.145.111.5/16 | ||
+ | * Sisäverkon IP: 10.5.2.10/24 | ||
+ | |||
+ | Asiakas: | ||
+ | * Julkinen IP: 156.35.22.60/23 | ||
+ | * Sisäverkon IP: 10.5.2.9/24 | ||
+ | |||
+ | Lisäksi määritetään molempiin Mikrotik reitittimeen oma DHCP palvelu, joka jakaa eri IP-osoite poolia samasta verkosta. Näin verkko toimii molemmissa toimistoissa, vaikka VPN tunneli ei toimisikaan. | ||
+ | |||
+ | Server Pool: | ||
+ | * IP-osoite: 10.5.2.50-10.5.2.100 | ||
+ | * Aliverkonpeite: 24 | ||
+ | * Oletusyhdyskäytävä: 10.5.2.10 | ||
+ | |||
+ | Client Pool: | ||
+ | |||
+ | * IP-osoite: 10.5.2.101-10.5.2.150 | ||
+ | * Aliverkonpeite: 24 | ||
+ | * Oletusyhdyskäytävä 10.5.2.9 | ||
+ | |||
+ | DNS palvelimena voi käyttää esimerkiksi 8.8.8.8 ja 8.8.8.4.4 | ||
+ | |||
+ | === Server === | ||
+ | |||
+ | Toimisto A:n VPN palvelimeen tulee ensin määrittää IP-osoitteet. Nämä voi olla kiinteitä tai dynaamisia, suosittelemme ensisijaisesti kiinteitä IP-osoitteita. | ||
+ | |||
+ | 1. Luodaan ensimmäiseksi VPN profiili nimeltä VPN ja määritä siihen silta bridge-local | ||
+ | |||
+ | /ppp profile add name=VPN bridge=bridge-local | ||
+ | |||
+ | <gallery> | ||
+ | File:RouterOS_vpn_site_to_site_1.png | ||
+ | </gallery> | ||
+ | |||
+ | 2. Otetaan käyttöön VPN palvelin (käytämme PPTP:tä mutta voit käyttää SSTP:tä) ja määritetään profiiliksi VPN | ||
+ | |||
+ | /interface pptp-server server set default-profile=VPN enabled=yes | ||
+ | |||
+ | <gallery> | ||
+ | File:RouterOS_vpn_site_to_site_2.png | ||
+ | </gallery> | ||
+ | |||
+ | 3. Luo käyttäjätili VPN palvelulle | ||
+ | |||
+ | /ppp secret add name=VPN password=Qwerty1 profile=VPN | ||
+ | |||
+ | <gallery> | ||
+ | File:RouterOS_vpn_site_to_site_3.png | ||
+ | </gallery> | ||
+ | |||
+ | |||
+ | 4. Salli palomuurista portti 1723 (PPTP) liikenteelle. Katso lisäohjeet [[RouterOS Palomuuri]] | ||
+ | |||
+ | /ip firewall filter add chain=input protocol=tcp dst-port=1724 action=accept | ||
+ | |||
+ | 5. Estetään DHCP liikenne VPN tunneliin. Molempiin Mikrotik reitittimiin tulee oma DHCP palvelu. | ||
+ | |||
+ | /interface bridge filter add chain=forward in-interface=bridge-local mac-protocol=ip dst-address="255.255.255.255" dst-port="67-68" ip-protocol=udp action=drop | ||
+ | |||
+ | <gallery> | ||
+ | File:RouterOS_vpn_site_to_site_4.png | ||
+ | </gallery> | ||
+ | |||
+ | |||
+ | 6. Määritetään DHCP palvelin | ||
+ | |||
+ | Määritä DHCP palvelin tämän ohjeen mukaan [[RouterOS DHCP]] | ||
+ | |||
+ | * IP-osoite: 10.5.2.50-10.5.2.100 | ||
+ | * Aliverkonpeite: 24 | ||
+ | * Oletusyhdyskäytävä: 10.5.2.10 | ||
+ | |||
+ | === Client === | ||
+ | |||
+ | Toimisto B:n reititin toimii asiakaslaitteena. Seuraavaksi yhdistetään tämä asiakaslaite VPN palvelimeen. Määritä ensimmäiseksi IP-osoitteet reitittimeen. | ||
+ | |||
+ | 1. Luodaan myös asiakaslaitteelle VPN profiili nimeltä VPN ja määritä siihen silta bridge-local | ||
+ | |||
+ | /ppp profile add name=VPN bridge=bridge-local | ||
+ | |||
+ | 2. Luodaan VPN client. | ||
+ | |||
+ | /interface pptp-client add name=vpn-testi connect-to=173.145.111.5 user=VPN password=Qwerty1 profile=VPN | ||
+ | |||
+ | 3. Estetään DHCP liikenne VPN tunneliin. | ||
+ | |||
+ | /interface bridge filter add chain=forward in-interface=bridge-local mac-protocol=ip dst-address="255.255.255.255" dst-port="67-68" ip-protocol=udp action=drop | ||
+ | |||
+ | 4. Määritetään DHCP palvelin | ||
+ | |||
+ | Määritä DHCP palvelin tämän ohjeen mukaan [[RouterOS DHCP]] | ||
+ | |||
+ | * IP-osoite: 10.5.2.101-10.5.2.150 | ||
+ | * Aliverkonpeite: 24 | ||
+ | * Oletusyhdyskäytävä 10.5.2.9 | ||
+ | |||
+ | == VPN läpinäkyvänä siltana (EoIP)== <!--T:73--> | ||
+ | |||
+ | <!--T:74--> | ||
[[Tiedosto:Eoipopptp.png]] | [[Tiedosto:Eoipopptp.png]] | ||
+ | <!--T:75--> | ||
Ohjeessa rakennetaan kuvanmukaisesti EoIP (Ethernet over IP) tunneli PPTP tunnelin sisälle. EoIP mahdollistaa siltauksen kahden verkkojen välillä. Ohjetta voidaan soveltaa myös SSTP protokollaan. | Ohjeessa rakennetaan kuvanmukaisesti EoIP (Ethernet over IP) tunneli PPTP tunnelin sisälle. EoIP mahdollistaa siltauksen kahden verkkojen välillä. Ohjetta voidaan soveltaa myös SSTP protokollaan. | ||
− | |||
+ | |||
+ | <!--T:76--> | ||
+ | Tässä ohjeessa on pääreitin ja asiakasreititin. Esimerkiksi pääreititin voisi olla toimisto 1 ja asiakasreititin toimisto 2. Käytössämme on privaatti-osoite normaalissa verkossa toimisto 1 verkossa, jossa on valmiiksi asennettu pääreititin. Verkko-osoite on 192.168.1.0/24 ja pääreitittimen IP-osoite 192.168.1.1/24. Käytössä on siis testi tietokone joka on yhdistetty pääreitittimeen ja testi tietokoneen IP-osoite on 192.168.1.2/24. | ||
+ | |||
+ | <!--T:77--> | ||
+ | Käytössä on julkinen IP-osoitteet toimisto 1 verkossa 12.12.10.2 ja toimisto 2 verkossa 12.21.11.1. | ||
+ | |||
+ | <!--T:78--> | ||
+ | Tunneliverkko (PPTP):n IP-osoitteet ovat pääreitittimessä 192.168.10.1 ja asiakasreitittimessä 192.168.10.2 | ||
+ | |||
+ | <!--T:79--> | ||
+ | Asiakasverkossa oleva testaus tietokoneen IP-osoite on 192.168.1.3/24, joka on yhdistetty reitittimeen jonka IP-osoite on 192.168.1.254/24. | ||
+ | |||
+ | === Pääreititin (kuvassa vasen) === <!--T:80--> | ||
+ | |||
+ | <!--T:81--> | ||
Terminaalissa | Terminaalissa | ||
+ | <!--T:82--> | ||
Oletaan käyttöön PPTP Server. | Oletaan käyttöön PPTP Server. | ||
− | /interface pptp-server server set enabled=yes | + | <!--T:83--> |
+ | /interface pptp-server server set enabled=yes | ||
+ | <!--T:84--> | ||
[[Tiedosto:Pptpserveri2.jpg]] | [[Tiedosto:Pptpserveri2.jpg]] | ||
+ | <!--T:85--> | ||
Luodaan uusi PPTP käyttäjä jolla oikeus muodostaa yhteys PPTP palvelimeen: | Luodaan uusi PPTP käyttäjä jolla oikeus muodostaa yhteys PPTP palvelimeen: | ||
− | /ppp secret add name="USERNAME" service=pptp password="PASS" local-address=192.168.10.1 remote-address=192.168.10.2 disabled=no | + | <!--T:86--> |
+ | /ppp secret add name="USERNAME" service=pptp password="PASS" local-address=192.168.10.1 remote-address=192.168.10.2 disabled=no | ||
+ | <!--T:87--> | ||
add name = Käyttäjänimi jonka haluat luoda | add name = Käyttäjänimi jonka haluat luoda | ||
+ | <!--T:88--> | ||
service = Palvelut, mille haluat käyttäjälle oikeudet | service = Palvelut, mille haluat käyttäjälle oikeudet | ||
+ | <!--T:89--> | ||
password = Käyttäjän salasana | password = Käyttäjän salasana | ||
+ | <!--T:90--> | ||
local-address = Paikallinen IP-osoite, joka annetaan käyttäjälle kun yhdistää PPTP tähän palvelimeen | local-address = Paikallinen IP-osoite, joka annetaan käyttäjälle kun yhdistää PPTP tähän palvelimeen | ||
+ | <!--T:91--> | ||
remote-address = Etä IP-osoite | remote-address = Etä IP-osoite | ||
+ | <!--T:92--> | ||
disable = otetaanko käyttöön (no disable) tai ei käytössä (disable=yes) | disable = otetaanko käyttöön (no disable) tai ei käytössä (disable=yes) | ||
+ | <!--T:93--> | ||
[[Tiedosto:PPTP EoIP-tunnel 1.png]] | [[Tiedosto:PPTP EoIP-tunnel 1.png]] | ||
PPP:n Secret valikosta voit luoda graafisesti uuden käyttäjän | PPP:n Secret valikosta voit luoda graafisesti uuden käyttäjän | ||
+ | <!--T:94--> | ||
Määritetään nyt EoIP tunneli pääreitittimelle: | Määritetään nyt EoIP tunneli pääreitittimelle: | ||
− | /interface eoip add name=eoiptunnel remote-address=192.168.10.2 tunnel-id=101 disabled=no | + | <!--T:95--> |
+ | /interface eoip add name=eoiptunnel remote-address=192.168.10.2 tunnel-id=101 disabled=no | ||
+ | <!--T:96--> | ||
add name = EoIP tunnelin nimi | add name = EoIP tunnelin nimi | ||
+ | <!--T:97--> | ||
remote-address = IP-osoite asiakaslaitteessa. | remote-address = IP-osoite asiakaslaitteessa. | ||
+ | <!--T:98--> | ||
tunnel-id = Tunnelin ID | tunnel-id = Tunnelin ID | ||
+ | <!--T:99--> | ||
disable = otetaanko käyttöön (no disable) tai ei käytössä (disable=yes) | disable = otetaanko käyttöön (no disable) tai ei käytössä (disable=yes) | ||
+ | <!--T:100--> | ||
[[Tiedosto:PPTP EoIP-tunnel 4.png]] | [[Tiedosto:PPTP EoIP-tunnel 4.png]] | ||
Avaa päävalikosta Interfaces ja luo uusi EoIP interface. | Avaa päävalikosta Interfaces ja luo uusi EoIP interface. | ||
+ | <!--T:101--> | ||
Sillataan EoIP paikallisen verkon kanssa | Sillataan EoIP paikallisen verkon kanssa | ||
− | /interface bridge port add bridge=bridge-local interface=eoiptunnel | + | <!--T:102--> |
+ | /interface bridge port add bridge=bridge-local interface=eoiptunnel | ||
+ | <!--T:103--> | ||
[[Tiedosto:PPTP EoIP-tunnel 6.png]] | [[Tiedosto:PPTP EoIP-tunnel 6.png]] | ||
Valitse valikosta Bridge -> Ports. Luo uusi ja määritä kuvanmukaisesti. | Valitse valikosta Bridge -> Ports. Luo uusi ja määritä kuvanmukaisesti. | ||
− | === Asiakasreititin (kuvassa oikealla) === | + | <!--T:104--> |
+ | Salli palomuurista sisälleppäin portti 1723 ja GRE paketit kun käytät PPTP:tä! | ||
+ | |||
+ | === Asiakasreititin (kuvassa oikealla) === <!--T:105--> | ||
+ | <!--T:106--> | ||
Määritetään asiakasreitittimelle PPTP Client liitäntä: | Määritetään asiakasreitittimelle PPTP Client liitäntä: | ||
− | /interface pptp-client add name="pptp-tunnel1" connect-to=12.12.10.2 user="USERNAME" password="PASS" profile=default-encryption add-default route=no disabled=no | + | <!--T:107--> |
+ | /interface pptp-client add name="pptp-tunnel1" connect-to=12.12.10.2 user="USERNAME" password="PASS" profile=default-encryption add-default route=no disabled=no | ||
+ | <!--T:108--> | ||
add-name = PPTP Client nimi | add-name = PPTP Client nimi | ||
+ | <!--T:109--> | ||
connect-to = Pääpalvelimen IP-osoite | connect-to = Pääpalvelimen IP-osoite | ||
+ | <!--T:110--> | ||
user=käyttäjä, jolla on oikeus muodostaa yhteys PPTP palvelimeen (pääreitittimeen) | user=käyttäjä, jolla on oikeus muodostaa yhteys PPTP palvelimeen (pääreitittimeen) | ||
+ | <!--T:111--> | ||
password = käyttäjän salasana | password = käyttäjän salasana | ||
+ | <!--T:112--> | ||
profile = Profiili jossa on mm... salausasetuksia. | profile = Profiili jossa on mm... salausasetuksia. | ||
+ | <!--T:113--> | ||
add-default-route = Oletusreititin | add-default-route = Oletusreititin | ||
+ | <!--T:114--> | ||
disable = otetaanko käyttöön (no disable) tai ei käytössä (disable=yes) | disable = otetaanko käyttöön (no disable) tai ei käytössä (disable=yes) | ||
+ | <!--T:115--> | ||
[[Tiedosto:PPTP EoIP-tunnel 2.png]] | [[Tiedosto:PPTP EoIP-tunnel 2.png]] | ||
[[Tiedosto:PPTP EoIP-tunnel 3.png]] | [[Tiedosto:PPTP EoIP-tunnel 3.png]] | ||
Avaa päävalikosta PPP ja interface välilehdestä uusi. Täytä kuvanmukaisesti | Avaa päävalikosta PPP ja interface välilehdestä uusi. Täytä kuvanmukaisesti | ||
+ | <!--T:116--> | ||
Määritetään nyt EoIP tunneli: | Määritetään nyt EoIP tunneli: | ||
− | /interface eoip add name=eoiptunnel remote-address=192.168.10.2 tunnel-id=101 disabled=no | + | <!--T:117--> |
+ | /interface eoip add name=eoiptunnel remote-address=192.168.10.2 tunnel-id=101 disabled=no | ||
+ | <!--T:118--> | ||
add name = EoIP tunnelin nimi | add name = EoIP tunnelin nimi | ||
+ | <!--T:119--> | ||
remote-address = IP-osoite asiakaslaitteessa. | remote-address = IP-osoite asiakaslaitteessa. | ||
+ | <!--T:120--> | ||
tunnel-id = Tunnelin ID | tunnel-id = Tunnelin ID | ||
+ | <!--T:121--> | ||
disable = otetaanko käyttöön (no disable) tai ei käytössä (disable=yes) | disable = otetaanko käyttöön (no disable) tai ei käytössä (disable=yes) | ||
+ | <!--T:122--> | ||
[[Tiedosto:PPTP EoIP-tunnel 5.png]] | [[Tiedosto:PPTP EoIP-tunnel 5.png]] | ||
Avaa päävalikosta Interfaces ja luo uusi EoIP interface. Täytä kuvanmukaisesti. | Avaa päävalikosta Interfaces ja luo uusi EoIP interface. Täytä kuvanmukaisesti. | ||
− | === Testaus === | + | === Testaus === <!--T:123--> |
+ | <!--T:124--> | ||
Testaa niin että molemmat reitittimet ovat eri verkossa. Aseta työasemat molempiin reitittimiin. Testaa että yhteys toimii molemmissa ja pystyvät liikennöimään keskenään ja internettiin. | Testaa niin että molemmat reitittimet ovat eri verkossa. Aseta työasemat molempiin reitittimiin. Testaa että yhteys toimii molemmissa ja pystyvät liikennöimään keskenään ja internettiin. | ||
+ | <!--T:125--> | ||
Testaessanne VPN tunnelia SSTP:nä, huomasimme todella alhaiset nopeudet 5 Mbps kun PPTP:nä saimme 45 Mbps nopeudet. | Testaessanne VPN tunnelia SSTP:nä, huomasimme todella alhaiset nopeudet 5 Mbps kun PPTP:nä saimme 45 Mbps nopeudet. | ||
− | == Lähteet == | + | == Lähteet == <!--T:126--> |
+ | <!--T:127--> | ||
http://www.jpudasaini.com.np/2013/12/how-to-create-vpnpptp-server-on.html | http://www.jpudasaini.com.np/2013/12/how-to-create-vpnpptp-server-on.html | ||
+ | <!--T:128--> | ||
http://blog.butchevans.com/2008/09/mikrotik_routeros_transparent_bridge_pptp_eoip/ | http://blog.butchevans.com/2008/09/mikrotik_routeros_transparent_bridge_pptp_eoip/ | ||
+ | |||
+ | <!--T:129--> | ||
+ | http://www.nasa-security.net/mikrotik/l2tp-ipsec-vpn-site-to-site-mikrotik-how-to/ | ||
+ | |||
+ | |||
+ | </translate> | ||
+ | |||
+ | [[Category:RouterOS]] | ||
+ | [[Category:VPN]] |
Nykyinen versio 13. toukokuuta 2015 kello 09.08
RouterOS käyttöjärjestelmässä on kätevä luoda erilaisia tunneleita. Asiakasmäärät on rajoitettu käytettävän lisenssin mukaan. Lisätietoa rajoituksista: http://wiki.mikrotik.com/wiki/Manual:License#License_Levels
Sisällysluettelo
PPTP Palvelin
PPTP on helposti ja kätevästi hyödynnettävä tunnelointiprotokolla mikrotikillä.
1. Ensin tehdään IP-verkkoalue pptp:tä varten
ip pool add name=PPTP address=10.10.10.0/29
Avaa vasemmasta valikosta IP -> Pool -> Add pool
Määritetään kuvamukaisesti:
Name: PPTP Addresses: 10.10.10.0/29
Name = Poolin nimi (nimeä itse) Addresses = Verkko-osoite, jota käytetään PPTP tunnelissa. Esimerkissä käytämme 10.10.10.0/29 verkkoa, jossa 6 IP-osoitetta käytettävissä (verkkomaski on 255.255.255.248).
2. Otetaan käyttöön PPTP Server
interface pptp-server server set enabled=yes
Avaa vasemmasta valikosta PPP -> Interface -> PPTP-server
3. Luodaan uusi profiili
PPP -> Profiles -> Add Profile
- PPTP-profiilin nimi
- Tähän laitetaan luomamme osoitepoolin nimi
- DNS palvelimen(helpoiten toimii julkinen DNS) IP-osoite. Esim: Googlen DNS palvelin 8.8.8.8
4. Luodaan uusi käyttäjä ja konfiguroidaan se.
PPP -> Secrets -> Add Secret
Name = Käyttäjännimi
Password = Käyttäjän salasana
Services = Palvelut jossa käyttäjätili on käytössä
Profiilina käytetään juuri luomaamme PPTP nimistä profiilia.
5. Avataan portteja, jotta pptp:tä voi hyödyntää ulkoverkosta. Varmista että luomasi palomuurisääntö on samassa kohtaa kuvaa!
Ip -> Firewall -> Filter Rules -> Add rule
Salli GRE paketit palomuurista
/ip firewall filter add chain=input protocol=gre action=accept
PPTP asiakas
Tehdään Site-to-Site (NAT) vpn yhteys kahdella mikrotikillä.
PPTP-clientin konfigurointi
Valitaan valikosta vasemmalta PPP.
1. Luodaan uusi interface valikosta
2. Valitaan PPTP client
3. Nimetään pptp asiakasyhteyden nimi
4. Asetetaan MAX mtu ja MAX mru. 1400 on sopiva
5. Valitaan ylävalikosta Dial Out
6. PPTP palvelimen ip osoite tai hostname
7. Pistetään oikea käyttäjätunnus sekä salasana
8. Raksi pois tästä kohdasta, tämä määrittää että yhteys katkeaa kun yhteys tippuu alas
9. Valitaan oikeat salaustavat
Palomuurisäännökset
10. Valitaan Firewall vasemmalta
11. Valitaan NAT
12. Tehdään uusi NAT sääntö
13. Valitaan srcnat
14. Out. Interfaceksi pptp interface
15. Valitaan Action
16. Toiminnaksi masquerade
Tehdään uusi Mangle sääntö
17. Chain prerouting
18. Osoiteavaruus jonka halutaan menevän tunnelin läpi.
19. Siirrytään Action
20. Action Mark Routing
21. New Routing Mark: Haluamasi nimi.
Reititykset
22. Tehdään uusi reitti
Reitityksen voi tehdä monella tapaa
Jos sinulla on korkea lähetysnopeus (yli 10 Mbps) ja haluat olla turvallisessa yhteydessä, kannattaa kaikki liikenne reitittää tunnelin kautta. Jos kuitenkin haluat että vain yhteydet tunnelin päässä olevaan verkkoon reitittyy tunnelin kautta ja muu taas paikallisen oletusyhdyskäytävän kautta kannattaa käyttää toista tapaa.
23. Minne tämä reitittää. 0.0.0.0/24 reitittää kaikki paketit tunnelin kautta.
24.
25. Routing mark jonka teimme
26. Jos haluat että vain liikenne tunnelin päässä olevaan sisäverkkoon kulkee tunnelin kautta, pistä tähän se verkkoavaruus.
VPN läpinäkyvänä siltana
RouterOS mahdollistaa esimerkiksi yrityksen kaksi tai useamman toimiston verkkojen yhdistämisen yhdeksi verkoksi. Esimerkissä käytämme toimiston A:ssa VPN server ja toimisto B:ssä VPN Client.
Käytämme esimerkissämme seuraavia asetuksia:
Server (vpn-testi.taisto.org):
- Julkinen IP: 173.145.111.5/16
- Sisäverkon IP: 10.5.2.10/24
Asiakas:
- Julkinen IP: 156.35.22.60/23
- Sisäverkon IP: 10.5.2.9/24
Lisäksi määritetään molempiin Mikrotik reitittimeen oma DHCP palvelu, joka jakaa eri IP-osoite poolia samasta verkosta. Näin verkko toimii molemmissa toimistoissa, vaikka VPN tunneli ei toimisikaan.
Server Pool:
- IP-osoite: 10.5.2.50-10.5.2.100
- Aliverkonpeite: 24
- Oletusyhdyskäytävä: 10.5.2.10
Client Pool:
- IP-osoite: 10.5.2.101-10.5.2.150
- Aliverkonpeite: 24
- Oletusyhdyskäytävä 10.5.2.9
DNS palvelimena voi käyttää esimerkiksi 8.8.8.8 ja 8.8.8.4.4
Server
Toimisto A:n VPN palvelimeen tulee ensin määrittää IP-osoitteet. Nämä voi olla kiinteitä tai dynaamisia, suosittelemme ensisijaisesti kiinteitä IP-osoitteita.
1. Luodaan ensimmäiseksi VPN profiili nimeltä VPN ja määritä siihen silta bridge-local
/ppp profile add name=VPN bridge=bridge-local
2. Otetaan käyttöön VPN palvelin (käytämme PPTP:tä mutta voit käyttää SSTP:tä) ja määritetään profiiliksi VPN
/interface pptp-server server set default-profile=VPN enabled=yes
3. Luo käyttäjätili VPN palvelulle
/ppp secret add name=VPN password=Qwerty1 profile=VPN
4. Salli palomuurista portti 1723 (PPTP) liikenteelle. Katso lisäohjeet RouterOS Palomuuri
/ip firewall filter add chain=input protocol=tcp dst-port=1724 action=accept
5. Estetään DHCP liikenne VPN tunneliin. Molempiin Mikrotik reitittimiin tulee oma DHCP palvelu.
/interface bridge filter add chain=forward in-interface=bridge-local mac-protocol=ip dst-address="255.255.255.255" dst-port="67-68" ip-protocol=udp action=drop
6. Määritetään DHCP palvelin
Määritä DHCP palvelin tämän ohjeen mukaan RouterOS DHCP
- IP-osoite: 10.5.2.50-10.5.2.100
- Aliverkonpeite: 24
- Oletusyhdyskäytävä: 10.5.2.10
Client
Toimisto B:n reititin toimii asiakaslaitteena. Seuraavaksi yhdistetään tämä asiakaslaite VPN palvelimeen. Määritä ensimmäiseksi IP-osoitteet reitittimeen.
1. Luodaan myös asiakaslaitteelle VPN profiili nimeltä VPN ja määritä siihen silta bridge-local
/ppp profile add name=VPN bridge=bridge-local
2. Luodaan VPN client.
/interface pptp-client add name=vpn-testi connect-to=173.145.111.5 user=VPN password=Qwerty1 profile=VPN
3. Estetään DHCP liikenne VPN tunneliin.
/interface bridge filter add chain=forward in-interface=bridge-local mac-protocol=ip dst-address="255.255.255.255" dst-port="67-68" ip-protocol=udp action=drop
4. Määritetään DHCP palvelin
Määritä DHCP palvelin tämän ohjeen mukaan RouterOS DHCP
- IP-osoite: 10.5.2.101-10.5.2.150
- Aliverkonpeite: 24
- Oletusyhdyskäytävä 10.5.2.9
VPN läpinäkyvänä siltana (EoIP)
Ohjeessa rakennetaan kuvanmukaisesti EoIP (Ethernet over IP) tunneli PPTP tunnelin sisälle. EoIP mahdollistaa siltauksen kahden verkkojen välillä. Ohjetta voidaan soveltaa myös SSTP protokollaan.
Tässä ohjeessa on pääreitin ja asiakasreititin. Esimerkiksi pääreititin voisi olla toimisto 1 ja asiakasreititin toimisto 2. Käytössämme on privaatti-osoite normaalissa verkossa toimisto 1 verkossa, jossa on valmiiksi asennettu pääreititin. Verkko-osoite on 192.168.1.0/24 ja pääreitittimen IP-osoite 192.168.1.1/24. Käytössä on siis testi tietokone joka on yhdistetty pääreitittimeen ja testi tietokoneen IP-osoite on 192.168.1.2/24.
Käytössä on julkinen IP-osoitteet toimisto 1 verkossa 12.12.10.2 ja toimisto 2 verkossa 12.21.11.1.
Tunneliverkko (PPTP):n IP-osoitteet ovat pääreitittimessä 192.168.10.1 ja asiakasreitittimessä 192.168.10.2
Asiakasverkossa oleva testaus tietokoneen IP-osoite on 192.168.1.3/24, joka on yhdistetty reitittimeen jonka IP-osoite on 192.168.1.254/24.
Pääreititin (kuvassa vasen)
Terminaalissa
Oletaan käyttöön PPTP Server.
/interface pptp-server server set enabled=yes
Luodaan uusi PPTP käyttäjä jolla oikeus muodostaa yhteys PPTP palvelimeen:
/ppp secret add name="USERNAME" service=pptp password="PASS" local-address=192.168.10.1 remote-address=192.168.10.2 disabled=no
add name = Käyttäjänimi jonka haluat luoda
service = Palvelut, mille haluat käyttäjälle oikeudet
password = Käyttäjän salasana
local-address = Paikallinen IP-osoite, joka annetaan käyttäjälle kun yhdistää PPTP tähän palvelimeen
remote-address = Etä IP-osoite
disable = otetaanko käyttöön (no disable) tai ei käytössä (disable=yes)
PPP:n Secret valikosta voit luoda graafisesti uuden käyttäjän
Määritetään nyt EoIP tunneli pääreitittimelle:
/interface eoip add name=eoiptunnel remote-address=192.168.10.2 tunnel-id=101 disabled=no
add name = EoIP tunnelin nimi
remote-address = IP-osoite asiakaslaitteessa.
tunnel-id = Tunnelin ID
disable = otetaanko käyttöön (no disable) tai ei käytössä (disable=yes)
Avaa päävalikosta Interfaces ja luo uusi EoIP interface.
Sillataan EoIP paikallisen verkon kanssa
/interface bridge port add bridge=bridge-local interface=eoiptunnel
Valitse valikosta Bridge -> Ports. Luo uusi ja määritä kuvanmukaisesti.
Salli palomuurista sisälleppäin portti 1723 ja GRE paketit kun käytät PPTP:tä!
Asiakasreititin (kuvassa oikealla)
Määritetään asiakasreitittimelle PPTP Client liitäntä:
/interface pptp-client add name="pptp-tunnel1" connect-to=12.12.10.2 user="USERNAME" password="PASS" profile=default-encryption add-default route=no disabled=no
add-name = PPTP Client nimi
connect-to = Pääpalvelimen IP-osoite
user=käyttäjä, jolla on oikeus muodostaa yhteys PPTP palvelimeen (pääreitittimeen)
password = käyttäjän salasana
profile = Profiili jossa on mm... salausasetuksia.
add-default-route = Oletusreititin
disable = otetaanko käyttöön (no disable) tai ei käytössä (disable=yes)
Avaa päävalikosta PPP ja interface välilehdestä uusi. Täytä kuvanmukaisesti
Määritetään nyt EoIP tunneli:
/interface eoip add name=eoiptunnel remote-address=192.168.10.2 tunnel-id=101 disabled=no
add name = EoIP tunnelin nimi
remote-address = IP-osoite asiakaslaitteessa.
tunnel-id = Tunnelin ID
disable = otetaanko käyttöön (no disable) tai ei käytössä (disable=yes)
Avaa päävalikosta Interfaces ja luo uusi EoIP interface. Täytä kuvanmukaisesti.
Testaus
Testaa niin että molemmat reitittimet ovat eri verkossa. Aseta työasemat molempiin reitittimiin. Testaa että yhteys toimii molemmissa ja pystyvät liikennöimään keskenään ja internettiin.
Testaessanne VPN tunnelia SSTP:nä, huomasimme todella alhaiset nopeudet 5 Mbps kun PPTP:nä saimme 45 Mbps nopeudet.
Lähteet
http://www.jpudasaini.com.np/2013/12/how-to-create-vpnpptp-server-on.html
http://blog.butchevans.com/2008/09/mikrotik_routeros_transparent_bridge_pptp_eoip/
http://www.nasa-security.net/mikrotik/l2tp-ipsec-vpn-site-to-site-mikrotik-how-to/