Настройка PPP-profile для различных вариантов PPP туннелей

В данной статье поговорим о настройках PPP-profile для различных вариантов PPP туннелей.

Для этого нам необходимо зайти в раздел /ppp profiles и создать новый profile.
Default профили с названием default и default encryption мы трогать не должны, потому что эти профили используются в подключениях клиентов к различным PPP-серверам.
Cоздаем новый PPP профиль

/ppp/profile/add name=vpn-profile

Local address — это адрес, который будет использоваться внутри VPN туннелей для нашего VPN сервера или другими словами это адрес шлюза для наших VPN клиентов

Ну, например, если мы будем считать, что клиентам будет выдавать адрес 10.2.2.2-10.2.2.254 из этого диапазона сети, то Local Address можем спокойно задать 10.2.2.1

/ppp/profile/set local-address=10.2.2.1 numbers=[find name=vpn-profile]

Remote address — это адреса клиентов внутри VPN туннеля.
Он не может быть один адрес для всех клиентов. И обычно используется /ip/pool

Поэтому мы должны зайти дополнительно в раздел /ip/pool и создать пул необходимый pool для наших vpn-клиентов.

Итак, создаем пул для наших VPN клиентов — назовем его тоже каким-то образом, например, VPN

/ip/pool/add name=vpn-pool ranges=10.2.2.2-10.2.2.100

Если мы собираемся выдавать какие-то статические адреса, то есть не через автоматические способы, то желательно конечно же от pool отрезать какую-то часть и использовать ее уже в статическом виде — например, адреса до 100 в нашем случае. Адреса с 10.2.2.2 до 10.2.2.100 назначаются автоматически, а адреса с 10.2.2.101 до 10.2.2.254 адреса будут назначаться в ручном режиме.

После создания Пула, мы можем его спокойно выбрать в разделе /ppp/profile в качестве remote address

/ppp/profile/set remote-address=vpn-pool  numbers=[find name=vpn-profile]

Основные элементы, которые Вас могут заинтересовать и которые вы можете использовать в процессе настройки вашего VPN profile.

• change MCS это изменение tcp maximum segment size – default
• upnp нас не сильно интересует потому что в корпоративных сетях отключен (можете посмотреть видео про Upnp)
• шифрование — две важных опции использовать шифрование ( Да использовать ( /ppp/profile/set use-encryption=yes numbers=[find name=vpn-profile]) и обязательное шифрование — если мы хотим использовать шифрование постоянно(/ppp/profile/set use-encryption=required numbers=[find name=vpn-profile]), то ставим обязательно. Если хотим использовать шифрование иногда то ставим “Yes”
• limits — здесь у нас есть различные лимиты
• Only one — очень важный параметр который, говорит что с уникальным логином паролем мы можем подключаться только один раз. Only one Yes это практически постоянная опция, Которую мы должны использовать всегда. ppp/profile/set numbers=[find name=vpn-profile] only-one=yes
• Session Timeout это время через которое сессия оборвется — например в данном случае Я указал 24 часа и мы через 24 часа выключим сессию ppp/profile/set numbers=[find name=vpn-profile] session-timeout=86000
• Idle TimeOut — не часто применимый параметр, но интересный это время простоя — То есть, через час если VPN сервер будет видеть что клиент не проявляет никакой активности мы его автоматически отключим. Это используется для снижения нагрузки на VPN сервера а также для экономии трафика на VPN серверах. /ppp/profile/set numbers=[find name=vpn-profile] idle-timeout=3600
• Rate limit — это ограничение пропускной способности на клиента — RX/TX — обязательно указывать скорость в M(мегабитах) или К(килобитах), чтобы сделать конкретное ограничение. После того как наш клиент подключиться будет создана стандартная простая(simple) очередь на этого клиента с данными характеристиками в нашем случае 10 мегабит на 20 мегабит в секунду
  /ppp/profile/set numbers=[find name=vpn-profile] rate-limit=10m/20m
• Queue — необходим для более точной настройки очередей simple queues — то есть в какую позицию Simple Queues мы добавляем нашего вновь подключившегося клиента, то есть подключаем его выше или ниже того или иного правила simple queues. Кто является родителем (parent) на том или ином правиле и какой тип (type) очереди мы будем использовать
• Scripts используются — автоматизации тех или иных действий после подключения VPN-клиента, для уведомления о том когда подключился и когда отключился VPN-клиент.