З'єднання PPTP – що це таке? З'єднання PPTP – що це таке? Аутентифікація та шифрування

У цій статті ми ознайомимося з тим, як організувати власний VPN сервер на Windows 7 без використання стороннього софту.

Нагадаю, що VPN (Virtual Private Network)це технологія, яка використовується для доступу до захищених мереж через загальну мережу Internet. VPNдозволяє забезпечити захист інформації та даних, що передається загальнодоступною мережею, шляхом їх шифрування. Тим самим зловмисник не зможе отримати доступ до даних, що передаються всередині VPN сесії, навіть якщо він отримати доступ до пакетів, що передаються по мережі. Для розшифровки трафіку йому необхідно мати спеціальний ключ або намагатися розшифрувати сесію за допомогою грубого брутфорсу. Крім того, це дешеве рішення для побудови мережі підприємства каналами WAN, без необхідності оренди виділеного дорогого каналу зв'язку.

Для чого може знадобитися організація VPN сервера Windows 7? Найбільш поширений варіант – необхідність організації віддаленого доступудо комп'ютера з Windows 7 вдома або в малому офісі (SOHO) при знаходженні, наприклад, у відрядженні, в гостях, загалом, не на робочому місці.

Варто відзначити, що сервер VPN на Windows 7 має ряд особливостей і обмежень:

• Ви повинні чітко розуміти і прийняти всі потенційні ризики, пов'язані з VPN підключенням
• Одночасно можливе лише одне підключення користувача та організувати одночасний VPN доступ до комп'ютера з Win 7 кільком користувачам відразу, легально не можна.
• VPN доступ можна надати тільки локальним обліковим записам користувачів, та інтеграція з Active Directoryнеможлива
• Для налаштування VPN сервера на машині з Win 7 необхідно мати права адміністратора
• Якщо ви підключаєтеся до Інтернету через роутер, вам необхідно мати до нього доступ, і потрібно вміти налаштовувати правила для організації прокидання портів (port forward) для дозволу вхідних VPN підключень (власне процедура налаштування може істотно відрізнятися залежно від моделі роутера)

Дана покрокова інструкціядопоможе вам організувати власний VPN сервер на Windows 7, не використовуючи сторонні продукти та дорогі корпоративні рішення.

Відкрийте панель NetworkConnections(Мережеві підключення), набравши "network connection" в пошуковому рядкустартового меню, виберіть пункт "View network connections".

Потім натисніть кнопку Alt, клацніть по меню Fileта оберіть пункт New Incoming Connection (Нове вхідне підключення), в результаті чого запуститься майстер створення підключень до комп'ютера.

У вікні майстра вкажіть користувача, якому буде дозволено підключатися до цього комп'ютера з Windows 7 за допомогою VPN.

Потім вкажіть тип підключення користувача (через Інтернет або через модем), у цьому випадку виберіть “Thought the Internet”.

Потім вкажіть типи мережевих протоколів, які будуть використовуватися для обслуговування вхідного підключення VPN. Повинний бути обраний як мінімум TCP/IPv4.

Натисніть кнопку Properties і вкажіть IP адресу, яка буде присвоєна комп'ютеру, що підключається (доступний діапазон можна задати вручну, або вказати що ip адреса видасть DHCP сервер).

Після того, як ви натиснете кнопку Allowaccess Windows 7 автоматично налаштує VPN сервер і з'явиться вікно з ім'ям комп'ютера, яке потрібно буде використовуватися для підключення.

Ось і все VPN північ налаштований, і у вікні мережевих підключеньз'явиться нове підключення під назвою Incoming connections.

Є ще кілька аспектів при організації домашнього VPN сервера на Windows 7.

Налаштування міжмережевих екранів

Між Вашим комп'ютером з Windows 7 і мережею Інтернет можуть бути фаєрволи, і для того, щоб вони пропускали вхідне VPN з'єднання, Вам доведеться здійснити їх доналаштування. Налаштування різних пристроївдуже специфічна і не може бути описана в рамках однієї статті, але головне усвідомити правило - необхідно відкрити порт VPN PPTP з номером 1723 і налаштувати форвард (переадресацію) підключень на машину з Windows 7, де піднято VPN сервер.

Не забудьте перевірити параметри вбудованого брандмауера Windows. Відкрийте панель керування Advanced Settings у Windows Firewall, перейдіть до розділу Inbound Rules (Вхідні правила) і перевірте, чи увімкнено правило “Routing and Remote Access (PPTP-In)”. Це правило дозволяє приймати вхідні підключення по порту 1723

Перекидання портів

Нижче я виклав скріншот, що показує організацію прокидання (форвардинг) порту на моєму роутері від NetGear. На малюнку видно, що все зовнішні підключенняна порт 1723 перенаправляються на машину Windows 7 (адреса якої статична).

Налаштування VPN підключення

Щоб підключитися до VPN сервера з Windows 7, на машині-клієнті, що підключається, необхідно налаштувати VPN підключення

Для цього для нового VPN з'єднаннязадайте наступні параметри:

• Клацніть правою кнопкою VPN підключення та виберіть Properties .
• На вкладці Securityв полі TypeofVPN(тип VPN) виберіть опцію Point to Point Tunneling Protocol (PPTP) та у розділі Data encryptionВиберіть Maximum strength encryption (disconnect if server declines) .
• Натисніть OK , щоб зберегти налаштування

VPN-тунелі - поширений вид зв'язку типу "крапка-крапка" на основі стандартного інтернет-з'єднання через роутери MikroTik. Вони є, по суті "канал усередині каналу" - виділену лінію всередині основної.

Необхідність налаштування тунельного VPN-з'єднання на MikroTik виникає у випадках, коли:

• Потрібно надати доступ до корпоративної мережі співробітникам підприємства, які працюють з дому, або перебуваючи у відрядженні, у тому числі з мобільних пристроїв.
• Потрібно надати доступ в інтернет абонентам провайдера(Останнім часом така реалізація доступу клієнтів стає все більш популярною).
• Необхідно з'єднати два віддалені підрозділи підприємствазахищеним каналом зв'язку із мінімальними витратами.

На відміну від звичайної мережі, де дані передаються відкрито та в незашифрованому вигляді, VPN є захищеним каналом зв'язку. Рівень захисту залежить від типу тунельного протоколу, вибраного для з'єднання.Так, найменш захищеним вважається протокол PPtP, навіть його "верхній" алгоритм автентифікації mschap2 має низку проблем безпеки та легко зламується. Найбільш безпечним вважається набір протоколів IPsec.

Незважаючи на докоряючу картинку, іноді сенс у відключенні шифрування та аутентифікації все ж таки є. Багато моделей MikroTik не підтримують апаратне шифрування, і обробка всіх процесів, пов'язаних із захистом з'єднання відбувається на рівні CPU. Якщо безпека з'єднання не є для вас критичним моментом, а продуктивність роутера, що використовується, залишає бажати кращого, то відключення шифрування можна використовувати для розвантаження процесора.

Вибір протоколу для VPN на MikroTik

Для налаштування з'єднання VPN через MikroTik найчастіше використовуються такі протоколи:

У сьогоднішній статті ми розглянемо налаштування підключення VPN за допомогою двох з них, як найбільш часто зустрічаються в роботі провайдера системного адміністратора: PPtP та PPPoE. .

VPN через PPtP на MikroTik

PPtP - найпоширеніший протокол VPN. Це зв'язок протоколу TCP, який використовується для передачі даних, і GRE - для інкапсуляції пакетів. Найчастіше використовується для віддаленого доступу користувачів до корпоративної мережі. В принципі, може використовуватися для багатьох завдань VPN, проте слід враховувати його вади в безпеці.

Простий у налаштуванні. Для організації тунелю потрібно:

створити на роутері MikroTik, через який користувачі підключатимуться до корпоративної мережі, PPtP-сервер,

створити профілі користувачів з логінами/паролями для ідентифікації на стороні сервера,

створити правила-виключення Firewall маршрутизатора, щоб підключення безперешкодно проходили через брандмауер.

Включаємо PPTP сервер.

Для цього йдемо до розділу меню PPP, заходимо на вкладку Interfaceвгорі в переліку вкладок знаходимо PPTP серверта ставимо галочку в пункті Enabled.

Знімаємо галочки із найменш безпечних алгоритмів ідентифікації - pap і chap.

Створюємо користувачів.

В розділі PPPпереходимо до менюSecretsта за допомогою кнопки "+ Додаємо нового користувача.

У полях Nameі Passwordпрописуємо, відповідно логін та пароль, який використовуватиме користувач для підключення до тунелю.

В полі Serviceвибираємо тип нашого протоколу - pptp, у полі Local Addressпишемо IP-адресу роутера MikroTik, яка виступатиме в ролі VPN-сервера, а в полі Remote Address - IP-адреса користувача

Прописуємо правила для Firewall.

Нам потрібно відкрити 1723 порт для трафіку TCP-протоколом для роботи VPN-тунелю MikroTik, а також дозволити протокол GRE. Для цього йдемо в розділ IP,потім - у Firewallпотім на вкладку Filter Rules, де за допомогою кнопки "+" додаємо нове правило. В полі Chainвказуємо вхідний трафік - input, в полі Protocolобираємо протокол tcp, а в полі Dst. Port- вказуємо порт для VPN тунелю 1723 .

Переходимо тут же на вкладку Actionі вибираємо accept- Дозволяти (трафік).

Так само додаємо правило для GRE. На вкладці Generalаналогічно попередньому прописуємо input, а в полі Protocolобираємо gre.

На вкладці Actionяк і в попередньому правилі вибираємо accept.

Не забуваємо підняти ці правила у загальному списку нагору, поставивши ПЕРЕД забороняючими правилами, інакше вони не працюватимуть. У RouterOS Mikrotik це можна зробити перетягуванням правил у вікні FireWall.

Все, PPtP сервер для VPN на MikroTik піднято.

Невелике уточнення.

У деяких випадках, коли при підключенні необхідно бачити локальну мережу за маршрутизатором, потрібно увімкнути proxy-arp у налаштуваннях локальної мережі. Для цього йдемо в розділ інтерфейсів (Interface), знаходимо інтерфейс, що відповідає локальній мережі та на вкладці Generalв полі ARPобираємо proxy-arp.

Якщо ви підняли VPN між двома роутерами MikroTik і вам необхідно дозволити передачу broadcast, можна спробувати додати існуючий профіль підключення (PPP - Profiles) віддаленого роутера до бриджу головного:

UPD з коментарю:Якщо вам додатково потрібно отримати доступ до розшарованих папок на комп'ютерах локальної мережі, знадобиться також відкрити порт 445 для трафіку SMB-протоколу, що відповідає за Windows Shared. (Правило forward у брандмауері).

Налаштування клієнта .

На стороні VPN-клієнта налаштування полягають тільки в тому, щоб створити підключення за VPN, вказати IP-адресу VPN (PPtP) сервера, логін та пароль користувача.

VPN через PPPoE на MikroTik

Своєю поширеністю останнім часом VPN за протоколом PPPOE зобов'язаний провайдерам, які надають широкосмуговий, у тому числі бездротовий доступ в інтернет. Протокол передбачає можливість стиснення даних, шифрування, а також характеризується:

Доступністю та простотою налаштування.

Підтримка більшістю маршрутизаторів MikroTik.

Стабільність.

Масштабованість.

Стійкістю зашифрованого трафіку до ARP-спуфінгу (мережевої атаки, що використовує вразливість протоколу ARP).

Меншою ресурсомісткістю та навантаженням на сервер, ніж PPtP.

Також його перевагою є можливість використання динамічних IP-адрес: не потрібно призначати певний IP кінцевим вузлам VPN-тунелю. Підключення з боку клієнта здійснюється без складних налаштувань, тільки за логіном та паролем.

Налаштування VPN-сервера PPPoE MikroTik

Налаштовуємо профілі сервера.

Декілька профілів PPPoE-сервера можуть знадобитися, якщо ви провайдер і роздаєте інтернет за декількома тарифними пакетами. Відповідно, у кожному профілі можна налаштувати різні обмеження швидкості.

Ідемо до розділу PPP, відкриваємо пунктProfilesта за допомогою кнопки "+ створюємо новий профіль. Даємо йому зрозумілу нам назву, прописуємо локальну адресу сервера (роутера), відзначаємо опціюChange TCP MSS(коригування MSS), щоб всі сайти нормально відкривалися.

До речі, в деяких випадках, коли виникають проблеми з відкриттям деяких сайтів, при тому, що пінги проходять на них, можна зробити по-іншому. Коригування MSS відключаємо, а через термінал прописуємо на роутері наступне правило:

"ip firewall mangle add chain=forward protocol=tcp tcp-flags=syn tcp-mss=1453-65535 action=change-mss new-mss=1360 disabled=no". У більшості випадків це вирішує проблему.

Далі на вкладціProtocolsвсе відключаємо, для покращення продуктивності. Якщо захищеність з'єднання вам важлива і продуктивність маршрутизатора дозволяє, то опціюUse Encryption(використовувати шифрування) не вимикайте.

На вкладці Limitsвстановлюємо обмеження за швидкістю, якщо потрібно. Перша цифра в обмеженні швидкості - трафік, що входить на сервер (вихідний від абонента), друга - наш вихідний трафік (що входить у абонента).

Ставимо Yesу пункті Only OneЦе означає, що два і більше абонентів з одним і тим же набором логін/пароль не зможуть підключитися до PPPoE-сервера, тільки один.

Тепер, якщо необхідно, створюємо інші профілі простим копіюванням (кнопкаCopyна попередньому скріншоті) і міняємо ім'я та обмеження за швидкістю.

Створюємо облікові записи користувачів .

У тому ж розділі PPPзнаходимо пункт менюSecrets. У ньому за допомогою кнопки "+" створюємо нового користувача, який підключатиметься до нас за VPN-тунелем.

Заповнюємо поля Name і Password (логін та пароль, який вводитиме користувач зі свого боку, щоб підключитися).

В полі Serviceобираємо pppoe, в Profile- відповідний профіль, у разі - тарифний пакет, яким користується абонент. Привласнюємо користувачеві IP-адресу, яку при підключенні сервер роздасть абоненту.

Якщо підключаємо кілька користувачів, створюємо для кожного окрему обліковий запис, змінюючи ім'я/пароль та IP-адресу.

Прив'язуємо сервер PPPoE до певного інтерфейсу MikroTik.

Тепер нам необхідно повідомити маршрутизатор, на якому інтерфейсі він повинен "слухати" вхідні підключення від VPN PPPoE клієнтів. Для цього у розділі PPP ми вибираємо пункт PPPoE Servers. Тут ми змінюємо:

Поле Interface - вибираємо той інтерфейс, до якого підключатимуться клієнти,

• Keepalive Timeout – 30 секунд (час очікування відповіді від клієнта до розриву з'єднання)
• Default Profile - профіль, який присвоюватиметься абонентам за замовчуванням,
• Ставимо галку в One Session Per Host, дозволяючи тим самим підключення тільки одного тунелю з маршрутизатора клієнта або комп'ютера.
• Галочки в розділі аутентифікації залишаємо/знімаємо на розсуд.

Налаштовуємо NAT для доступу клієнтів до інтернету.

Ми підняли PPPoE сервер, і тепер до нього можуть підключатися авторизовані користувачі. Якщо нам потрібно, щоб користувачі, що під'єдналися по VPN тунелю, мали доступ в інтернет, потрібно налаштувати NAT (маскарадинг), або перетворення локальних мережевих адрес.

В розділі IPвибираємо пункт Firewallта за допомогою кнопки "+" додаємо нове правило.

В полі Chainмає стояти srcnatЩо означає, що маршрутизатор буде застосовувати це правило до трафіку, спрямованого "зсередини назовні".

В полі Src. Address(вихідна адреса) прописуємо діапазон адрес 10.1.0.0/16 . Це означає, що це клієнти з адресами 10.1. (0.0-255.255) виходитимуть у мережу через NAT, т. е. ми перераховуємо тут всіх потенційних абонентів.

В полі Dst. Address(адреса призначення) вказуємо!10.0.0.0/8 - діапазон адрес, що означає власний адресний простір для приватних мереж, знаком окликупопереду. Це вказує роутеру на виняток - якщо хтось із локальної мережі звертається на адресу в нашій мережі, то NAT не застосовується, з'єднання відбувається безпосередньо.

А на вкладці Actionпрописуємо, власне, дію маскарадингу - підміни локальної адресипристрої на зовнішню адресу роутера.

Налаштування VPN-клієнта PPPoE

Якщо на тій стороні VPN тунелю підключення відбуватиметься з комп'ютера або ноутбука, просто потрібно буде створити високошвидкісне підключення через PPPoE в Центрі управління мережами і спільним доступом(Для Win 7, Win 8). Якщо на другому боці – теж роутер Mikrotik, то підключаємо наступним чином.

Додаємо PPPoE інтерфейс.

На вкладці Interfaceвибираємо PPPoE Client та за допомогою кнопки "+" додаємо новий інтерфейс.

Тут у полі Interfaceми вибираємо той інтерфейс роутера Mikrotik, на якому ми організуємо VPN-тунель.

Прописуємо налаштування підключення.

Ставимо галочку у полі Use Peer DNS- для того, щоб адреса DNS серверами отримували із сервера VPN (від провайдера), а не прописували вручну.

Налаштування аутентифікації (галочки в pap, chap, mschap1, mschap2) мають бути узгоджені із сервером.

сайт

Ця стаття буде першою з циклу, про налаштування VPN сервера та клієнта Mikrotik. У цьому випадку розглянемо варіант із PPTP.

Наприклад візьмемо завдання — Об'єднати два офіси через інтернет за допомогою VPN.

1. Почнемо з налаштування першого роутера.

1.1. Створюємо діапазон IP адрес
У вкладці IP - Pool натискаємо «+»:
Name: pptp_pool
Address: 192.168.4.2-192.168.4.15

1.2. Створимо профіль для тунелю.
У вкладці PPP - Profiles натискаємо «+»:
Name: pptp_profile
Local Address: 192.168.4.1
Remote Address: pptp_pool - те, що зробили в пункті 1.1.
Change TCP MSS: yes

1.3. Включаємо сервер PPTP.
На вкладці PPP натискаємо кнопку PPTP Server. Ставимо галку Enable.
Default Profile: pptp_profile
Authentication: mschap2 і mschap 1 — менш уразливі протоколи автентифікації, але не обов'язково.

1.4. Створюємо користувача.
Залишаючись у PPP, переходимо у вкладку Secrets. Натискаємо «+» та вносимо дані:
Name: tun1
Password: tun1
Service: pptp
Profile: pptp_profile
Local address та Remote address: ці поля не чіпаємо, т.к. ми налаштували їх у профілі

1.5. Додаємо правило до фаєрволу
Відкриваємо IP - Firewall, у вкладці Filter Rules натискаємо "+". У вкладці General:
C hain: input
Protocol: tcp
Dst.Port: 1723 (порт для PPTP)
У вкладці Action:
Action: accept
Dst. Address List - INBOUND (це список зовнішніх IP), якщо він один заповнюємо поле Dst. Address на вкладці general ВАЖЛИВО! Якщо не вказати адресу призначення або інтерфейс - ви не зможете зовнішні pptp встановити з ПК за роутером. Він все завертатиме на себе.

УВАГА!!! Після створення правила його потрібно підняти вище, ніж забороняють.

1.6 Природно, якщо нам треба, щоб клієнт клієнт ходив в інтернет, через pptp сервер, на ньому треба налаштувати NAT
IP - Firewall - NAT
Або додаємо нове правило, або модифікуємо старе
src. address - 192.168.4.0/24
вкладка action - masqurade

2. Переходимо до налаштування другого роутера він PPTP клієнт.

2.1 Переходимо до розділу Interfaces, натискаємо + , вибираємо PPTP client

У вкладці general вказуємо ім'я інтерфейсу

У вкладці Dial Out:
Connection To: Тут вказуємо реальну IP адресу налаштовану на першому роутері.
User: tun1 - той якого ми завели на першому роутері.
Password - думаю і так зрозуміло 🙂

2.2 Налаштування маршруту
Нам потрібно визначити, що ми загорнемо в тунель. Наприклад візьмемо сайт 2ip.ru, який має IP адресу 178.63.151.224.
Відкриємо вкладку IP - Routes і натиснемо "+":
Dst. Address (адреса призначення): 178.63.151.224
Gateway: 192.168.4.1

Другий варіант, замість IP шлюзу можна вибрати з'єднання.

Вітаємо Вас на нашому сайті! У цій інструкції ви дізнаєтесь, як налаштувати VPN-підключення за протоколом PPTP для операційної системи Windows 7.

Нагадаємо, VPN (Virtual Private Network) – це технологія, яку використовують для доступу до захищеної мережі (мереж) за допомогою загальнодоступної мережі Інтернет. За допомогою VPN-каналу можна захистити свою інформацію, зашифрувавши її та передавши всередині VPN-сесії. Крім цього VPN є дешевою альтернативою дорогому виділеному каналу зв'язку.

Для налаштування VPN за протоколом PPTP для Windows 7 Вам знадобляться:

• ОС Windows 7;
• адресу VPN-сервера, до якого здійснюватиметься підключення за протоколом PPTP;
• логін та пароль.

На цьому теоретична частина закінчена, приступимо до практики.

1. Відкриваємо меню "Пуск" та переходимо в "Панель управління" Вашим комп'ютером

2. Потім вибираємо розділ "Мережа та Інтернет"

3. У вікні вибираємо "Центр управління мережами та загальним доступом"

4. На наступному етапі вибираємо пункт "Налаштування нового підключення чи мережі"

5. У вікні, що відкрилося, вибираємо пункт "Підключення до робочого місця"

6. У новому вікні вибираємо пункт "Використовувати моє підключення до Інтернету (VPN)"

8. У вікні, що відкрилося, в полі "Інтернет-адреса" вводимо адресу вашого VPN-сервера, в полі "Ім'я місцепризначення" вводимо назву підключення, яке можна вибрати довільно

9. У наступному вікні вводимо логін та пароль, які прописані на сервері VPN. У полі "Запам'ятати цей пароль" ставимо "галочку", щоб не вводити його при кожному підключенні

10. Після перерахованих дій підключення готове до використання, натискаємо кнопку "закрити"

11. Після цього заходимо знову в меню Пуск, потім в Панель управління, Мережа та Інтернет, Управління мережами та загальним доступом, де вибираємо пункт "Зміна параметрів адаптера"

12. Знаходимо у цьому вікні наше VPN-підключення, клацаємо по ньому правою кнопкою мишки та переходимо у його властивості

14. У цьому ж вікні, тільки на вкладці «Мережа» прибираємо "галочки" навпроти пунктів: "Клієнт для мереж Microsoft" та "Служба доступу до файлів та принтерів мереж Microsoft"

На цьому налаштування VPNза протоколом PPTP для операційної системи Windows 7 завершено і VPN-з'єднання готове до використання.

Розглянувши докладно у попередній статті, як підняти серверну частину VPN-з'єднання на платформі Windows, ми переходимо до налаштування клієнтського підключення PPTP. Спочатку хотілося б згадати про всяк випадок, що з роботи протоколу PPTP використовується дві мережевих сесії: передачі даних встановлюється PPP сесія з допомогою протоколу GRE, і з'єднання на ТСР порту 1723 для ініціалізації і управління з'єднанням.

Відповідно, не забуваємо створювати правило для GRE. Як створити такі правила у штатному фаєрволі, якщо ви безпосередньо підключені до інтернету, можна почитати . Якщо ви знаходитесь за маршрутизатором, можна почитати тут.

Але ми все це вже читали-знаємо. Тому візьмемося за налаштування клієнтського VPN з'єднання під PPTP.

Для початку необхідно зайти в Панель управління, у Win7 для цього варто лише натиснути Пуск. і перейти в Панель управління. Далі в залежності від налаштувань відображення ми або натискаємо Мережа та Інтернет-> -> . Або ж переходимо відразу в Центр управління мережами та спільним доступом -> Налаштування нового підключення або мережі.

З'явиться майстер Встановлення та підключення та мережі. Вибираємо Підключення до робочого місця

Далі вводимо Інтернет-адресу (адресу сервера) і назву підключення, що створюється, найкраще Дозволити використання цього підключення іншими користувачами. Також про всяк випадок раджу поставити галочку на Не підключатися зараз. Оскільки ми будемо налаштовувати параметри VPN вручну.

Підключення у нас успішно склалося. Тепер необхідно його налаштувати. Переходимо до розділу Зміна параметрів адаптерів з вікна Центр управління мережами та спільним доступом.

Там шукаємо наше VPN підключення та за допомогою ПКМ переходимо до пункту меню Властивості. На вкладці Безпекатип VPN вибираємо PPTP. По суті це і все. На стороні клієнта за протоколом PPTP більше налаштовувати нічого.