По вашему запросу ничего не найдено :(
Убедитесь, что запрос написан правильно, или посмотрите другие
наши статьи:
PPTP (Point to Point Protocol), или, если дословно перевести, тунельный протокол типа точка-точка, является простым и быстрым решением по предоставлению удаленного доступа для пользователей. Данный протокол нативно поддерживается на операционных системах Windows XP, 7, 8, и так далее, что делает его идеальным решением для большинства офисных работников – он, к тому же, не требует установки никакого дополнительного ПО.
Главное, что нужно понимать: PPTP не обладает сильным шифрованием и прочими «фишками», которые предлагают IPSEC или SSL VPN решения. Несмотря на то, что MPPE (Microsoft Point-to-Point Encryption), поддерживаемый маршрутизаторами Cisco предоставляет довольно высокую степень защищенности, все равно не должен использоваться в сценариях, когда предоставляется доступ к ценной и/или конфиденциальной информации.
Как и в других решениях, предоставляющих удаленный доступ, удаленный пользователь может использовать PPTP для доступа к корпоративной сети и, по сути, он будет подключен прямо к внутренней подсети.
PPTP всегда настраивается между сервером (маршрутизатором Cisco) и клиентом (рабочей станцией Windows). PPTP поддерживается маршрутизаторами Cisco, а МСЭ ASA, в свою очередь, не поддерживают терминирование туннеля на самом фаерволле.
Процесс настройки клиента легко ищется в интернете, данная же статья описывает настройку маршрутизатора.
Сценарий и схема сети
В данной статье у нас предполагается следующий сценарий: к корпоративной сети принадлежит несколько филиалов, соединенных через VPN (к примеру, MPLS VPN, IPSEC VPN и так далее). Главный офис подключен к интернету и мы реализиуем простой и быстрый способ подключения удаленных пользователей к данной сети.
Допустим, интерфейс VLAN 1 (подсеть 10.10.10.0/24) маршрутизируется в основной сети. Если мы «подключим» удаленных пользователей через PPTP туннель к данному VLAN и назначим адрес из диапазона 10.10.10.0/24, то, логично, что у них появится доступ ко всем сетевым ресурсам.
В данном случае аутентификация будет реализована через локальные аккаунты на маршрутизаторе Cisco. Однако, в соответствии с рекомендациями по безопасности, мы рекомендуем использовать внешний RADIUS cервер. Оборудованием в нашем гипотетическом случае является 867VAE-K9 с образом c860vae-advsecurityk9-mz.152-4.M3.bin.
PPTP всегда настраивается между сервером (маршрутизатором Cisco) и клиентом (рабочей станцией Windows). PPTP поддерживается маршрутизаторами Cisco, а МСЭ ASA, в свою очередь, не поддерживают терминирование туннеля на самом фаерволле.
Настройка маршрутизатора
Ниже приведен пример конфига, с комментариями почти после каждой команды.
vpdn enable //Включаем VDPN (Virtual Private Dialup Network)
vpdn source-ip 1.1.1.1 //адрес используемый для входящих подключений
vpdn-group MerioNet //название группы
accept-dialin //разрешает маршрутизатору принимать подключение
protocol pptp //используемый протокол
virtual-template 1 //интерфейс, используемый для доступа
interface Virtual-Template1 //интерфейс используемый для клонирования
!описание PPTP доступа
ip unnumbered Vlan1 //использование адреса, настроенного для VLAN 1
ip virtual-reassembly in
load-interval 30
peer default ip address pool PPTP-Pool //назначение сетевого адреса для клиентов в диапазоне, указанном в PPTP-
no keepalive
ppp encrypt mppe auto //Использование MPPE шифрования с автоматически указанной силой шифрования (40, 56 или 128 бит)
ppp authentication ms-chap ms-chap-v2 //настройка разрешенных способов методов аутентификации
ip local pool PPTP-Pool 10.10.10.90 10.10.10.100 //диапазон IP-адресов, которые могут получать клиенты
username RemoteUserMerionet password merionet //создание локального пароля и логина для подключения.
Далее, обратите внимание на настройку интерфейсов (очевидные и всем известные команды):
interface GigabitEthernet1
description WAN Interface
ip address 1.1.1.1 255.255.255.252
interface Vlan1
description LAN Network
ip address 10.10.10.1 255.255.255.0
Далее, попробуйте подключить какой-нибудь клиент и проверьте работоспособность PPTP командами:
show users
show vpdn
Консольный доступ на Mikrotik используется для конфигурации и управления роутером с помощью терминала по telnet, SSH и т.д. Также консоль можно использовать для написания скриптов. Ниже вы найдете базовые команды, использующиеся для администрирования роутера.
Иерархия
Всего существует большое количество команд, которые разбиты на группы, отсортированные в иерархическом порядке. Это означает, что название уровня меню отображает информацию о конфигурации в соответствующем разделе - определение не очень понятное, но, после примеров все станет более прозрачным.
К примеру, введите команду ip route print для вывода таблицы маршрутизации:
Если же ввести команду ip route, то вы как бы сразу попадете в меню манипуляции конкретной ветки:
Обратите внимание, что для вывода всех возможных команд на данном уровне достаточно ввести знак ?, а для возврата на уровень выше - знак /.
Если же вам нужно выполнить команду из основного уровня - добавьте слэш (/) и команду следом, к примеру ping:
Нумерация и названия сущностей
Множество команд оперирует массивами сущностей - массивами интерфейсов, маршрутов, пользователей и т.д. Для изменения свойств сущности, предварительно должна идти команда set и указано имя или номер сущности.
Различие между номером и названием состоит в том, что при обращении к сущности по имени (item name) нет необходимости использовать команду print, в отличие от номера, который может быть назначен с помощью команды. Таким образом, использование “имен” в каком-то смысле более стабильно - однако все равно возможна ситуация, в которой, к примеру, несколько пользователей одновременно настраивают маршрутизатор. Ниже приведен пример изменения параметра MTU с помощью команды interface set 0 mtu=1460
Автозаполнение
В RouterOS есть две фичи, которые ускоряют конфигурацию - табуляция и сокращения команд. Табуляция - автозавершение команды после нажатия на клавишу Tab и оно работает также как автозавершение в bash для LinuxUNIX систем.
Если есть только одна альтернатива - она будет автоматически предложена и будет добавлен пробел, если же альтернатив больше - команда будет выполнена частично и пробел добавлен не будет.
То есть:
int[Tab] станет interface
interface set e[Tab] станет interface set ether_
Другой фичей является сокращение команд - к примеру вместо interface можно использовать int, вместо ping использовать pi и так далее
Ниже пример как выполняется команда pi 192.1 c 3 si 100, что абсолютно аналогично команде ping 192.0.0.1 count 3 size 100
Основные команды
Некоторые команды применимы практически на всех уровнях, эти команды - print, set, remove, add, find, get, export, enable, disable, comment, move.
add - добавление нового элемента с указанными параметрами, некоторые из параметров перечислены далее - copy-from, place-before, disabled, comment;
edit - ассоциирована с командой set, как правило используется для редактирования сущностей, содержащих большое количество текста, к примеру скриптов, но также работает для любых редактируемых сущностей;
find - команда возвращает внутренние номера всех сущностей, которые попадают под указанный фильтр. Обладает такими же аргументами как и команда set + имеет аргументы вида flag - такие как disabled или active (другими словами, булевые переменные);
move - команда меняет порядок сущностей в списке;
print - команда выводит всю информацию доступную с текущего уровня. Типичные модификаторы - from, where, brief, detail, count-only, file, interval, oid, without-paging. К примеру команда system clock print выводит системную дату и время, ip rout print - таблицу маршрутизации;
remove - удаление сущности (-ей) из списка;
set - установка параметров, значений и так далее;
Не забывайте, что для просмотра всех возможных аргументов и модификаторов вы можете ввести знак вопроса ? после команды или дважды нажать на клавишу Tab.
Горячие клавиши
Ниже приведен список самых полезных горячих клавиш, которые могут серьезно ускорить процесс настройки оборудования, и, даже спасти ситуацию в случае ввода некорректного сетевого адреса.
Ctrl-C - прерывание, к примеру для остановки процесса ping;
Ctrl-D - разлогинивание;
Ctrl-K - очистить строку от курсора до конца строки;
Ctrl-X - включение Безопасного режима, позволяет настраивать роутер практически без риска потерять удаленный доступ. При потере доступа, все выполненные изменения будут нивелированы через примерно 10 минут;
Ctrl-V - включение режима Автозаполнения (HotLock), в нем все команды будут завершаться автоматически;
F6 - включение режима помощи, при котором внизу терминала будут показаны типичные сочетания клавиш и как они могут быть использованы;
F1 или ? - помощь, вывод всех возможных команд на данном уровне;
Tab - автозавершение команды;
Нет времени на приветствия, конфиги горят! Для создания стандартного листа контроля доступа на оборудовании Cisco, нужно зайти в глобальный режим конфигурации и набрать команду:
R1(config)# access-list ACL_NUMBER permit|deny IP_ADDRESS WILDCARD_MASK
Где:
ACL_NUMBER - номер листа, стандартные листы именуются в промежутке 1-99 и 1300-1999;
permit/deny - разрешаем или запрещаем;
IP_ADDRESS/HOST - сетевой адрес;
WILDCARD_MASK - обратная маска;
Не нужно напрягаться и считать wildcard (обратную) маску в голове. Воспользуйся нашим калькулятором подсетей:
Калькулятор подсетей
Как только мы создали лист контроля доступа, его нужно применить к интерфейсу. Пуляем команду:
ip access-group ACL_NUMBER in|out interdace
Синтаксис команды описан ниже:
ACL_NUMBER - номер листа контроля доступа;
in|out - покидает трафик (out) или входит на интерфейс (in);
interface - номер и тип интерфейса;
Пример настройки
В топологии указанной ниже, нам нужно разрешить трафик из управляющей подсети на сервер S1.
Для начала, напишем ACL и разрешим трафик из подсети 10.0.0.0/24 к серверу S1. Сделаем это мы следующей командой:
access-list 1 permit 10.0.0.0 0.0.0.255
Данная команда разрешает весь трафик из подсети 10.0.0, также мы можем указать конкретный хост – тогда трафик будет разрешен только с него:
access-list 1 permit host 10.0.0.1
В конце каждого листа есть скрытая команда deny all – это означает, что трафик из других подсетей будет по умолчанию блокироваться. Если подобный эффект вам не нужен – можно создать лист:
access list 2 permit any any