Mikrotik 2 Mikrotik. VPN с доступом к ресурсам обеих сетей

Рейтинг
Оценка: 4.5Голосов: 2Комментарии: 2

Случилось так, что родственники в деревне, к которым мы часто ездим в гости, подключились к Интернету. Эта новость меня очень обрадовала, так как мобильная сеть, которой мы обычно пользовались ловит более-менее только тогда, когда мобильный телефон лежит на настенных часах под самым потолком и раздает по Wi-Fi Интернет по дому.

Соответственно, появилась необходимость мониторить их маршрутизатор, а так же сделать удалённый доступ к моему домашнему NAS, чтобы можно было бабушкам и дедушкам показывать фотки и видео внучки (ну и наши тоже), а также периодически запрещать устройству ребёнка ютубить. Воплотить данную задачу в жизнь я решил используя маршрутизатор Mikrotik hAP AC Lite.

Провайдер, который предоставляет Интернет услуги в деревне, использует для подключения технологию динамический IP-адрес. Причем это адрес 10.X.X.X недоступный из внешней сети Интернет, поэтому есть необходимость организовать к нему доступ по типу облака. Мой провайдер предоставляет Интернет по той же технологии, но с реальным динамическим адресом. Поэтому я настроил следующую схему:

Карта сети

Рис.1. Схема создания сети

.

Первым делом, на ведущем маршрутизаторе RB2011 с сервером PPtP, необходимо включить функцию DDNS (так как выдается реальный динамический IP-адрес и при каждом новом подключении он может меняться).

Переходим IP -> Cloud и включаем данную функцию:

Подключение функции IP-Cloud-DDNS

Рис.2. Настройка функции IP-Cloud-DDNS

.

Если в поле “DNS Name” сразу после применения функции не появится сгенерированное имя сервера, то необходимо нажать кнопку “Force Update” и немного подождать. В последствии мы будем использовать это имя для настройки подключения PPtP-клиента на ведомом маршрутизаторе hAP AC Lite.

Так как существует очень много информации и описаний настройки PPtP сервер-клиент в Интернете, буду краток и начнём мы с ведущего RB2011:

  1. IP -> Firewall добавляем два правила с Action – accept, и обязательно двигаем их выше всех запрещающих, иначе все подключения vpn будут блокироваться:
IP-Firewall-gre

Рис.3. Добавление IP-Firewall-gre

.

2. PPP -> Secrets – +, добавляем пользователя, в моём случае это “babushka”:

Добавление пользователя

Рис.4. Добавление пользователя – PPtP-Sercets

.

3. Включаем PPtP-сервер, многие рекомендуют оставлять только надёжные методы аутентификации:

Подключение сервера

Рис.5. Подключение сервера – PPtP-ServerEnable

.

Настраиваем PPtP-клиента на маршрутизаторе hAP AC Lite:

  1. Interfaces -> + -> PPtP-Client:
Подключение клиента

Рис.6. Настройка клиента – PPtP-Client

.

После того, как соединение установлено, необходимо проверить каким образом на обоих маршрутизаторах осуществляется маскарадинг. Если на Out-Interface что-то есть, то необходимо добавить еще одно правило с маскарадингом на PPtP соединение, либо убрать полностью все интерфейсы (как у меня), тогда маскарадиться из локальной сети будут все исходящие соединения:

Маскарадинг

Рис.7. Маскарадинг

.

На данном этапе нам осталось выполнить одно простейшее действие – добавить наши сети в таблицы роутинга обоих маршрутизаторов. Делается это следующим образом – маршрутизатору RB2011 с внутренней сетью 192.168.77.0/24 добавляем:

Добавление сетей в роутинг

Рис.8. Добавление сетей в таблицы роутинга маршрутизаторов

.

При этом необходимо обратить внимание, что Gateway указан IP адрес удаленного PPtP-клиент соединения. Я ставил вначале интерфейс <pptp-babushka>, но при каждом новом подключении роутинг на данную сеть слетает, а при прописанном адресе остается. А вот на втором маршрутизаторе 192.168.1.1/24 можно указать интерфейс, но я сделал так же, как и на первом:

Роутинг PPtP - клиента

Рис.9. Роутинг PPtP – клиента

.

Проверить всё можно обычной командной ping, и доступ к ресурсам NAS с обычного проводника.

Проверка настройки сети

Рис.10. Окончательная проверка настройки

.

Также я добавил PPtP пользователя типа “бабушки” – себя, и настроил данное подключение на смартфоне, теперь у меня есть доступ к своей домашней сети из любой точки мира, плюс оттуда же и доступ к маршрутизатору бабули.

Итак, мы получили полный доступ к сетям маршрутизаторов с возможностью администрировать обе сети; доступ к NAS, то что и было нужно. Этим могут пользоваться администраторы сетей для обслуживания удаленно своих клиентов, а также малый и средний бизнес для удаленной работы. Таким же образом можно объединить несколько сетей через VPN.

Надеюсь, эта информация будет полезной.

Вас может заинтересовать

 
1328 грн 47 у.е.
Купить
 
1582 грн 56 у.е.
Купить
 
2543 грн 90 у.е.
Купить

Если Вы нашли ошибку в тексте, то выделите ее мышкой и нажмите Ctrl + Enter или нажмите здесь.

Сообщение об ошибке

Ошибка:

Ваш комментарий (не обязательно):

Да Отмена

Об авторе Valerij_Burec