Сегодня мы поговорим о настройках локальных логинов и паролей пользователей для подключения к различным PPP-серверам на Mikrotik.
Для этого понадобится зайти в раздел /PPP/Secret и здесь добавить локального пользователя, как указано на скриншоте ниже.
Перед нами откроется окно, как указано на следующем скриншоте.
Что мы здесь имеем?
Name – логин для подключения к серверу.
Password – пароль для подключения к серверу.
Пароль, кстати, в Winbox можно скрыть через меню Settings – Hide Passwords.
Service – опция, позволяющая выбрать тип PPP-сервера, к которому выполняется подключение.
Caller ID– опция, позволяющая привязывать L2TP-клиента к MAC-адресу в случае с PPPoE-серверам или IP-адресу в случае с L3-серверами.
Profile– данная опция позволяет получить основные настройки из /PPP/Profile. Например, использование шифрования, использование сжатия, удаленный адрес (Remote Address) или pool адресов, адрес локального сервера (Local Address). Изучить эти настройки можно перейдя в меню, как указано на скриншоте ниже. Ссылка на статью по настройке профиля.
Local Address– это адрес VPN-сервера внутри туннеля. Фактически, это адрес шлюза, который будет использован на вашем клиенте.
Remote Address– это адрес, который получит клиент при подключении к PPP-серверу. В некоторых случаях их приходится переназначать, например при использовании динамической маршрутизации, использовании разных настроек Area в OSFP. А также использование Remote Address позволяет назначить статический адрес вашего клиента.
Remote IPv6 Prefix – это опция, позволяющая передачу клиенту префикса IPv6-адресов.
Routes и IPv6 Routes – это маршруты, которые автоматически добавятся в /IP/Route/ при подключении клиента. Здесь прописываются сети, которые будут доступны за нашим будущим VPN-клиентом. Если прописываются несколько сетей, то они разделяются запятой. Также для сети можно указать шлюз и метрику (Distance) разделенные пробелом. Если шлюз не указан, то в качестве шлюза используется сам PPP-интерфейс, создаваемый при подключении клиента.
Например, из скриншота ниже следует, что при подключении клиента будет добавлен маршрут до 192.168.0.0/24 и маршрут до 10.1.1.2 со шлюзом 10.2.2.101 и метрикой 112.
IPv6 Routes заполняется идентичным образом, но с IPv6-адресами.
Limit Bytes In и Limit Bytes Out – это опции, позволяющие ограничить входящий и исходящий трафики для клиента в байтах.
Для создания данного профиля через командную строку:
/ppp/secret
add name=ppp1 password=password service=any profile=vpn-profile remote-address=10.2.2.101 routes="192.168.0.0/24,10.1.1.2/32 10.2.2.101 112"
Посмотрим, что у нас получилось:
Попробуем подключить клиента с такими настройками и проверим, как они пропишутся. В данном случае я буду использовать L2TP клиента на другом Mikrotik.
Для этого на клиентском Mikrotik переходим в меню /PPP/Interface и добавляем L2TP Client интерфейс. В открывшемся окне вводим адрес сервера, имя пользователя, пароль и IPsec Secret (т.к. используется L2TP с Preshared Key).
Для создания такого интерфейса через командную строку:
/interface/l2tp-client
add connect-to=172.16.203.13 name=ppp1 user=ppp1 password=password use-ipsec=yes ipsec-secret=Qwerty123 disabled=no
Посмотрим, что у нас получилось:
На клиенте мы видим, что IP адрес у клиента 10.2.2.101, который мы и прописывали на сервере в /PPP/Secret. А remote адрес был взят из профиля vpn-profile, настроенный на сервере.
То же самое в командной строке:
/ip/address
print detail where interface=ppp1
Профиль vpn-profile.
Через командную строку:
/ppp/profile
print detail where name="vpn-profile"
Тем временем на сервере прописались маршруты, который доступны за нашим L2TP клиентом.
Для просмотра маршрутов перейдем в меню /IP/Route/.
На скриншоте мы видим маршрут до самого клиента – 10.2.2.101. Выделен номером 2.
Также в здесь мы видим два маршрута под номерами 1 и 3, которые были прописаны в поле Routes меню /PPP/Secret/.
Просмотр маршрутов через командную строку:
/ip/route/ print
Интересующие нас маршруты выделены жирным шрифтом.
На этом настройка /PPP/Secret/ закончена!
С вами скоро свяжутся