Настройка ppp secret для подключения к PPP серверам на Mikrotik

Сегодня мы поговорим о настройках локальных логинов и паролей пользователей для подключения к различным PPP-серверам на Mikrotik.

Для этого понадобится зайти в раздел /PPP/Secret и здесь добавить локального пользователя, как указано на скриншоте ниже.

Перед нами откроется окно, как указано на следующем скриншоте.

Что мы здесь имеем?
Name – логин для подключения к серверу.
Password – пароль для подключения к серверу.
Пароль, кстати, в Winbox можно скрыть через меню Settings – Hide Passwords.

Service – опция, позволяющая выбрать тип PPP-сервера, к которому выполняется подключение.

Caller ID– опция, позволяющая привязывать L2TP-клиента к MAC-адресу в случае с PPPoE-серверам или IP-адресу в случае с L3-серверами.

Profile– данная опция позволяет получить основные настройки из /PPP/Profile. Например, использование шифрования, использование сжатия, удаленный адрес (Remote Address) или pool адресов, адрес локального сервера (Local Address). Изучить эти настройки можно перейдя в меню, как указано на скриншоте ниже. Ссылка на статью по настройке профиля.

Local Address– это адрес VPN-сервера внутри туннеля. Фактически, это адрес шлюза, который будет использован на вашем клиенте.

Remote Address– это адрес, который получит клиент при подключении к PPP-серверу. В некоторых случаях их приходится переназначать, например при использовании динамической маршрутизации, использовании разных настроек Area в OSFP. А также использование Remote Address позволяет назначить статический адрес вашего клиента.

Remote IPv6 Prefix – это опция, позволяющая передачу клиенту префикса IPv6-адресов.

Routes и IPv6 Routes – это маршруты, которые автоматически добавятся в /IP/Route/ при подключении клиента. Здесь прописываются сети, которые будут доступны за нашим будущим VPN-клиентом. Если прописываются несколько сетей, то они разделяются запятой. Также для сети можно указать шлюз и метрику (Distance) разделенные пробелом. Если шлюз не указан, то в качестве шлюза используется сам PPP-интерфейс, создаваемый при подключении клиента.

Например, из скриншота ниже следует, что при подключении клиента будет добавлен маршрут до 192.168.0.0/24 и маршрут до 10.1.1.2 со шлюзом 10.2.2.101 и метрикой 112.

IPv6 Routes заполняется идентичным образом, но с IPv6-адресами.

Limit Bytes In и Limit Bytes Out – это опции, позволяющие ограничить входящий и исходящий трафики для клиента в байтах.

Для создания данного профиля через командную строку:

/ppp/secret
add name=ppp1 password=password service=any profile=vpn-profile remote-address=10.2.2.101 routes="192.168.0.0/24,10.1.1.2/32 10.2.2.101 112"

Посмотрим, что у нас получилось:

Попробуем подключить клиента с такими настройками и проверим, как они пропишутся. В данном случае я буду использовать L2TP клиента на другом Mikrotik.
Для этого на клиентском Mikrotik переходим в меню /PPP/Interface и добавляем L2TP Client интерфейс. В открывшемся окне вводим адрес сервера, имя пользователя, пароль и IPsec Secret (т.к. используется L2TP с Preshared Key).

Для создания такого интерфейса через командную строку:

/interface/l2tp-client
add connect-to=172.16.203.13 name=ppp1 user=ppp1 password=password use-ipsec=yes ipsec-secret=Qwerty123 disabled=no

Посмотрим, что у нас получилось:

На клиенте мы видим, что IP адрес у клиента 10.2.2.101, который мы и прописывали на сервере в /PPP/Secret. А remote адрес был взят из профиля vpn-profile, настроенный на сервере.

То же самое в командной строке:

/ip/address
print detail where interface=ppp1

Профиль vpn-profile.

Через командную строку:

/ppp/profile
print detail where name="vpn-profile"

Тем временем на сервере прописались маршруты, который доступны за нашим L2TP клиентом.

Для просмотра маршрутов перейдем в меню /IP/Route/.

На скриншоте мы видим маршрут до самого клиента – 10.2.2.101. Выделен номером 2.

Также в здесь мы видим два маршрута под номерами 1 и 3, которые были прописаны в поле Routes меню /PPP/Secret/.

Просмотр маршрутов через командную строку:

/ip/route/ print

Интересующие нас маршруты выделены жирным шрифтом.

На этом настройка /PPP/Secret/ закончена!