Tag Archives: IPIP

Mikrotik VPN (PPTP i L2TP)

Sve veća je potreba za VPN-om, odnosno Virtuelnim privatnim mrežama. VPN podrazumeva privatnu komunikacionu mrežu koja se koristi za komunikaciju u okviru javne mreže. Tunelovanje je najvažnija komponenta VPN-a i to je metod kojim se koristi infrastruktura jednog protokola za prenos podataka drugog protokola. Odlike VPN-a koje su bitne korisnicima su niska cena, laka implementacija i sigurnost a sve nam to omogućava Mikrotik, odnosno RouterOS.

U zavisnosti od potreba izabraćemo neki od sledećih načina za ostvarivanje VPN-a:

  • PPTP (Point-to-Point Tunel Protocol, dosta korišćen za povezivanje klijentskih uređaja, skoro svi operativni sistemi ga podržavaju, MS od Windows 95 verzije)
  • L2TP (Layer 2 Tunneling Protocol, sam po sebi ne obezbeđuje bezbednost već se oslanja na protokole za eknripciju)
  • IPsec (Može korisiti šifru ili certifikat za pojačanu bezbednost. Ide sam ili u kombinaciji sa nekim drugim tunelom)
  • IPIP (IP over IP, jednostavan protokol koji enkapsulira IP paket u IP, obično se koristi u kombinaciji sa IPsec-om)

Prva dva tunela se ostvaruju na drugom nivou OSI modela, dok je IPsec na trećem (Network Layer).

Podrazumevana podešavanja PPTP servera su:

/interface pptp-server server

set authentication=mschap1,mschap2 default-profile=default-encryption

enabled=no keepalive-timeout=30 max-mru=1460 max-mtu=1460 mrru=disabled

Da bi nam pptp radio potrebno je da ga uključimo sa komandom:

/interface pptp-server> server set enabled=yes 

Isto možemo uraditi i preko Winbox-a:

pptp01

Korisnike možete dodavati iz Winbox-a preko kartice Secrets ili komandom:

ppp_secrets

ppp secret add caller-id="" disabled=no limit-bytes-in=0 limit-bytes-out=0 \local-address=10.10.10.10 name=rajco password=blog profile=default-encryption \remote-address=10.10.10.20 routes="" service=pptp

Gde je name ime korinisnika kojeg kreirate, password  je šifra korisnika, profile služi da ne bi menjali ručno parametre za svaku grupu korisnika, local-address  je ip adresa na strani rutera i može biti ista za više korisnika, dok je remote-address  ip adresa koja će biti dodeljena korisniku. Ukoliko koristmo isti opseg za remote-address i adrese u lokalnoj mreži bitna napomena je da moramo uključiti proxy-arp na lokalnom interfejsu (ako je to interfejs ether2 komanda će izgledati):
 
interface ethernet set arp=proxy-arp ether2
proxy-arp
Za remote-address možemo koristi i IP pool i time smanjiti posao:
 
/ip pool
add name=dhcp_pool1 ranges=192.168.1.2-192.168.1.254
pptp_pool
Sa jednim korisničkim imenom podrazumevano može da se “kači” jedan korisnik, to možemo izmeniti:
 
ppp profile set default only-one=no

ppp-profile

Ukoliko imamo veći broj korisnika najbolje je njima upravljati sa RADIUS serverom (u nekom od narednih tekstova ću napisati uputstvo kako to uraditi sa domen kontrolerom na Windows Serveru 2008R2).
 
Slično ide i za L2TP, potrebno je uklučiti server:
 

interface l2tp-server server set enabled=yes

l2tp-server

Nakon toga kreiramo korisnika:

/ppp secret
add caller-id="" disabled=no limit-bytes-in=0 limit-bytes-out=0 \
local-address=10.20.30.1 name=rajco password=blog profile=default \
remote-address=10.20.30.2 routes="" service=l2tp

l2tp-user

Ukoliko koristimo na drugoj strani internet sa statičkom adresom onda je poželjno tu adresu upisati u polje Caller ID i time povećati stepen bezbednosti.

Evo podešavanja rutera na klijentskoj strani:

/interface l2tp-client
add add-default-route=no allow=pap,chap,mschap1,mschap2 connect-to=1.1.1.1 \
dial-on-demand=no disabled=no max-mru=1460 max-mtu=1460 mrru=disabled name=\
l2tp-out1 password=blog profile=default-encryption user=rajco

l2tp-client

Nakon toga je potrebno dodati statičku rutu koja kaže da sve što krene lokalnom opsegu drugog rutera ide na interface l2tp-rajco, odnosno na ip adresu 10.20.30.2 jer nekada može doći do problema ukoliko u padajućem meniju izaberete interface umesto da ukucate ip adresu. Podrazumeva se da isto ovo uradite na klijentskom ruteru samo što će ip adresa biti 10.20.30.1

/ip route
add disabled=no distance=1 dst-address=192.168.2.0/24 gateway=10.20.30.2 \
scope=30 target-scope=10

ip-route

Nakon toga će vam raditi VPN i računari će biti vidljivi između sebe. Ovo je jedan od najjednostavnijih načina da povežete dve lokacije a kasnije ga možete unapređivati.