середу, 29 серпня 2018 р.

Mikrotik 2 Mikrotik. VPN с доступом к ресурсам обеих сетей

Случилось так, что родственники в деревне, к которым мы часто ездим в гости, подключились к Интернету. Эта новость меня очень обрадовала, так как мобильная сеть, которой мы обычно пользовались ловит более-менее только тогда, когда мобильный телефон лежит на настенных часах под самым потолком и раздает по Wi-Fi Интернет по дому.
Соответственно, появилась необходимость мониторить их маршрутизатор, а так же сделать удалённый доступ к моему домашнему NAS, чтобы можно было бабушкам и дедушкам показывать фотки и видео внучки (ну и наши тоже), а также периодически запрещать устройству ребёнка ютубить. Воплотить данную задачу в жизнь я решил используя маршрутизатор Mikrotik hAP AC Lite.
Провайдер, который предоставляет Интернет услуги в деревне, использует для подключения технологию динамический IP-адрес. Причем это адрес 10.X.X.X недоступный из внешней сети Интернет, поэтому есть необходимость организовать к нему доступ по типу облака. Мой провайдер предоставляет Интернет по той же технологии, но с реальным динамическим адресом. Поэтому я настроил следующую схему:
Карта сети
Рис.1. Схема создания сети
.
Первым делом, на ведущем маршрутизаторе RB2011 с сервером PPtP, необходимо включить функцию DDNS (так как выдается реальный динамический IP-адрес и при каждом новом подключении он может меняться).
Переходим IP -> Cloud и включаем данную функцию:
Подключение функции IP-Cloud-DDNS
Рис.2. Настройка функции IP-Cloud-DDNS
.
Если в поле “DNS Name” сразу после применения функции не появится сгенерированное имя сервера, то необходимо нажать кнопку “Force Update” и немного подождать. В последствии мы будем использовать это имя для настройки подключения PPtP-клиента на ведомом маршрутизаторе hAP AC Lite.
Так как существует очень много информации и описаний настройки PPtP сервер-клиент в Интернете, буду краток и начнём мы с ведущего RB2011:
  1. IP -> Firewall добавляем два правила с Action – accept, и обязательно двигаем их выше всех запрещающих, иначе все подключения vpn будут блокироваться:
IP-Firewall-gre
Рис.3. Добавление IP-Firewall-gre
.
2. PPP -> Secrets – +, добавляем пользователя, в моём случае это “babushka”:
Добавление пользователя
Рис.4. Добавление пользователя – PPtP-Sercets
.
3. Включаем PPtP-сервер, многие рекомендуют оставлять только надёжные методы аутентификации:
Подключение сервера
Рис.5. Подключение сервера – PPtP-ServerEnable
.
Настраиваем PPtP-клиента на маршрутизаторе hAP AC Lite:
  1. Interfaces -> + -> PPtP-Client:
Подключение клиента
Рис.6. Настройка клиента – PPtP-Client
.
После того, как соединение установлено, необходимо проверить каким образом на обоих маршрутизаторах осуществляется маскарадинг. Если на Out-Interface что-то есть, то необходимо добавить еще одно правило с маскарадингом на PPtP соединение, либо убрать полностью все интерфейсы (как у меня), тогда маскарадиться из локальной сети будут все исходящие соединения:
Маскарадинг
Рис.7. Маскарадинг
.
На данном этапе нам осталось выполнить одно простейшее действие – добавить наши сети в таблицы роутинга обоих маршрутизаторов. Делается это следующим образом – маршрутизатору RB2011 с внутренней сетью 192.168.77.0/24 добавляем:
Добавление сетей в роутинг
Рис.8. Добавление сетей в таблицы роутинга маршрутизаторов
.
При этом необходимо обратить внимание, что Gateway указан IP адрес удаленного PPtP-клиент соединения. Я ставил вначале интерфейс <pptp-babushka>, но при каждом новом подключении роутинг на данную сеть слетает, а при прописанном адресе остается. А вот на втором маршрутизаторе 192.168.1.1/24 можно указать интерфейс, но я сделал так же, как и на первом:
Роутинг PPtP - клиента
Рис.9. Роутинг PPtP – клиента
.
Проверить всё можно обычной командной ping, и доступ к ресурсам NAS с обычного проводника.
Проверка настройки сети
Рис.10. Окончательная проверка настройки
.
Также я добавил PPtP пользователя типа “бабушки” – себя, и настроил данное подключение на смартфоне, теперь у меня есть доступ к своей домашней сети из любой точки мира, плюс оттуда же и доступ к маршрутизатору бабули.
Итак, мы получили полный доступ к сетям маршрутизаторов с возможностью администрировать обе сети; доступ к NAS, то что и было нужно. Этим могут пользоваться администраторы сетей для обслуживания удаленно своих клиентов, а также малый и средний бизнес для удаленной работы. Таким же образом можно объединить несколько сетей через VPN.

о

Немає коментарів:

Дописати коментар

Підписатися на: Дописати коментарі (Atom)