MikroTik Wiki | Создание сертификатов на RouterOS

Я записался, что дальше?

Итак, ваш работодатель дал добро и оплатил вам курс, и ещё похвалил за то, что получили скидку;) Обычно курс длится три дня. С собой необходимо взять ноутбук с Wi-Fi и обычной сетью, не тащите на курсы MacBook, возьмите обычный ноутбук c Windows. Возьмите также на всякий случай два патч-корда, которые точно работают, блокнот и ручку.

Само обучение подразделено на блоки, разбитые по темам. Сначала тренер рассказывает вам теорию, в виде презентации, потом отводится некоторое время на вопросы и обсуждение материала, после чего вам предлагается пройти лабораторную работу на пройденную тему. Если что-то не получается, тут же можно оперативно разобрать ошибки, или изменить условия задачи.

Посмотреть основные темы можно на официальном сайте в соответствующих outline описаниях к каждому тренингу.

Введение

Описанное здесь решение проверялось для технологий: SSTP, OpenVPN и IPsec.

89 вопросов по настройке mikrotik

Вы хорошо разбираетесь в Микротиках? Или впервые недавно столкнулись с этим оборудованием и не знаете, с какой стороны к нему подступиться? В обоих случаях вы найдете для себя полезную информацию в курсе «Настройка оборудования MikroTik». 162 видеоурока, большая лабораторная работа и 89 вопросов, на каждый из которых вы будете знать ответ. Подробности и доступ к началу курса бесплатно тут.

источник

Mtcna — обучение и сертификация mikrotik

Vpn туннель sstp между двумя роутерами mikrotik

Загрузка сертификата ssl в mikrotik

Настройка находится Files→File List→Upload

Поддержи автора статьи, сделай клик по рекламе ↓↓↓

Импорт сертификата

Настройка находится System→Certificates

Пример импортированного сертификата для sstp vpn клиента

Создание sstp vpn клиента

Настройка находится PPP→Interface

Настройка sstp vpn клиента

Видеоурок

источник

Для кого будет полезен курс mtcna?

Ответов на данный вопрос может быть очень много. Но так как это вводный курс, то без него вы не сможете претендовать на все остальные сертификаты. Если говорить об уровне знаний, который даст вам этот курс, то это уровень начальной настройки MikroTik, а также базовые знания по сетевым технологиям.

Как выбрать тренера?

На данный момент сертификационное обучение MikroTik в РФ предлагают несколько компаний и самостоятельных тренеров. Однако, если с материалом курса всё боле менее понятно, он одобрен самим MikroTik-ом, и на 90% состоит из заранее подготовленной презентации, то само обучение будет вести конкретный тренер, поэтому необходимо очень важно подойти к вопросу выбора.

К сожалению, не все тренеры могут «похвастаться» данными знаниями, поэтому настоятельно рекомендую, во-первых, выбирать самых «титулованных» тренеров, у которых присутствуют все сертификаты: MTCNA, MTCRE, MTCWE, MTCTCE, MTCUME, MTCINE. Во-вторых, изучите его послужной список в IT, если это не CIO или не Сетевой инженер, то я бы задумался о качестве подаваемого материала.

Теория, это хорошо, её можно знать досконально, но практика очень часто идёт в разрезе с этими данными и жизненный опыт в «продакшене» ОЧЕНЬ важен. Также обратите внимание, на дополнительную информацию, о профессиональной занятости тренера. Так как прогресс не стоит на месте, то и тренер должен развиваться в IT сфере.

Если вы рассчитываете на получение в будущем других сертификатов, то настоятельно рекомендую обратить внимание на указанные выше факты, так как на курсах верхнего уровня тренерский багаж знаний вам очень поможет. Ознакомится со списком всех тренеров в России можно тут.

Какие знания вы получите?

Посмотрим со стороны на человека у которого есть сертификат MTCNA.

• Обладатель сертификата MTCNA, знает, как восстановить MikroTik, после неправильной конфигурации или неудачной прошивки, с помощью программы NetInstall.
• Знает, как поднять небольшой офис, настроить NAT, настроить DHCP сервер и подключение к провайдеру. Также если это филиал, он умеет поднимать PPP VPN сервер/клиент и прописать статические маршруты до офисов.
• Умеет настраивать Wi-Fi как в виде клиента, так и в Access Point, и с лёгкостью настроит Access List.
• Умеет анализировать занятость радио каналов для выбора оптимальных настроек.
• Сможет обезопасить вашу локальную сеть фильтрами фаервола.
• Сможет настроить простые очереди для разделения трафика по приоритетам.
• Знает о лицензиях RouterOS и может подобрать необходимую версию.
• Умеет пользоваться CLI
• Знает о таких штуках как PCQ и NV2

Какова цена?

Приводить конкретные цифры я не буду, так как все цены есть в открытом доступе на сайтах. В большинстве случаев тренинг центры основаны на базе дистрибьютора или реселлера соответственно, поэтому если вы у них закупаетесь оборудованием, вы вполне можете попросить скидку. Если вы идёте группой — просите скидку. Если вы просто идёте сами по себе, то просите скидку, только придумайте повод.

Хотя надо отдать должное, ведь в стоимость обычно входит 3 дня обучения, включая теорию и Лабы, да ещё и сам сертификационный экзамен и RouterOS в подарок, поэтому в общем, стоимость сопоставима или даже подчас дешевле, чем аналогичное обучение от других производителей.

Настройка ikev2 vpn-сервера

Здесь мы вступаем в достаточно сложную область настройки IPsec, объем статьи не позволяет подробно останавливаться на назначении каждой настройки, поэтому если вы не уверены в своих действиях, то мы не рекомендуем отклоняться от указанных ниже настроек.

Перейдем в IP – IPsec – Profiles и создадим новый профиль, который задает параметры для установления соединения. Все параметры оставляем по умолчанию, кроме наименования, которому следует дать осмысленное имя.

Либо выполните команду в терминале:

/ip ipsec profile
add name=IKEv2

Затем перейдем на закладку Proposals – предложения, который содержит параметры криптографии предлагаемые для соглассования подключающимся клиентам. Создадим новое предложение, которое сформировано с учетом используемых современными ОС алгоритмов и изменение его состава может либо ослабить безопасность, либо сделать подключение некоторых клиентов невозможным.

Параметры по умолчанию нам не подойдут, поэтому в блоке Encr. Algorithms убираем 3des и добавляем aes-128-cbc, aes-192-cbc, aes-256-cbc.

/ip ipsec proposal
add name=IKEv2 pfs-group=none

Здесь мы сталкиваемся с одной особенностью: создаваемые через терминал и Winbox предложения содержат различный набор параметров. То, что создается в терминале полностью соответствует приведенным выше на скриншоте требованиям.

Для выдачи VPN-клиентам нам потребуется отдельный диапазон адресов, перейдем в IP – Pool и создадим новый пул, в нашем случае будет использован диапазон адресов 10.20.0.100 – 10.20.0.199:

IP – IPsec – Mode Configs. При создании новой конфигурации установим флаг Responder, в поле Address Pool укажем имя созданного нами пула, в поле Address Prefix Lenght укажем префикс адреса – 32, поле Split Include указываем подсети, запросы к которым следует направлять в туннель, здесь следует указать одну или несколько внутренних сетей, доступ к которым должны получать удаленные клиенты. В нашем случае это сеть условного офиса – 192.168.111.0/24. Наконец флаг System DNS предписывает клиенту использовать DNS сервера указанные в IP – DNS роутера. Если передавать DNS-сервера не требуется, то данный флаг следует снять.IP – IPsec – Mode Configs. При создании новой конфигурации установим флаг Responder, в поле Address Pool укажем имя созданного нами пула, в поле Address Prefix Lenght укажем префикс адреса – 32, поле Split Include указываем подсети, запросы к которым следует направлять в туннель, здесь следует указать одну или несколько внутренних сетей, доступ к которым должны получать удаленные клиенты. В нашем случае это сеть условного офиса – 192.168.111.0/24. Наконец флаг System DNS предписывает клиенту использовать DNS сервера указанные в IP – DNS роутера. Если передавать DNS-сервера не требуется, то данный флаг следует снять.

/ip ipsec mode-config
add address-pool=ikev2-pool address-prefix-length=32 name=IKEv2-cfg split-include=192.168.111.0/24

Если же вам нужно, чтобы клиенты использовали внутренние сервера имен, например, в Active Directory, то флаг System DNS также следует снять и указать адреса требуемых DNS-серверов.

/ip ipsec mode-config
add address-pool=ikev2-pool address-prefix-length=32 name=IKEv2-cfg split-include=192.168.111.0/24 static-dns=192.168.111.101,192.168.111.201 system-dns=no

На закладке Groups создадим новую группу, никаких настроек здесь нет, просто укажите уникальное имя:

/ip ipsec policy group
add name=ikev2-policies

Затем на закладке Policices создадим шаблон политики, которая будет указывать какой именно трафик будет подвергаться обработке IPsec и отправляться в туннель. В поле Src. Address оставляем 0.0.0.0/0, в поле Dst.

На закладке Action в поле Proposal укажите созданный нами ранее набор предложений.

Эти же действия в терминале:

/ip ipsec policy
add dst-address=10.20.0.0/24 group=ikev2-policies proposal=IKEv2 src-address=0.0.0.0/0 template=yes

После чего перейдем в IP – IPsec – Peers создадим новый пир для приема подключений. Сразу установим флаг Passive, в поле Address указываем 0.0.0.0/0 (разрешаем подключаться из любого места), в поле Profile указываем созданный нами профиль, а в поле Exchange Mode укажем протокол обмена ключами – IKE2.

В терминале для получения аналогичного результата выполните:

/ip ipsec peer
add exchange-mode=ike2 name=IKEv2-peer passive=yes profile=IKEv2

На закладке Identities создадим новую настройку идентификации подключающихся клиентов. Здесь много настраиваемых полей и нужно быть предельно внимательными, чтобы ничего не упустить и не перепутать. В поле Peer – указываем созданный нами пир, Auth.

Method – способ аутентификации – digital signature, Certificate – сертификат сервера. Policy Template Group – группа шаблонов политик – выбираем созданную нами группу, Mode Configuration – указываем созданную нами конфигурацию для клиентов, Generate Policy – port strict.

/ip ipsec identity
add auth-method=digital-signature certificate=vpn.interface31.lab generate-policy=port-strict mode-config=IKEv2-cfg peer=IKEv2-peer policy-template-group=ikev2-policies

На этом настройка сервера завершена, осталось лишь добавить правила брандмауэра, разрешающие работу с ним. Для того, чтобы клиенты могли подключаться к серверу перейдем в IP – Firewall – Filter Rules и добавим правило: Chain – input, Protocol – udp, Dst.

/ip firewall filter
add action=accept chain=input dst-port=500,4500 in-interface=ether1 protocol=udp

Но это еще не все, чтобы VPN-клиенты могли получить доступ к внутренней сети, следует добавить еще одно правило. На закладке General укажите Chain – forward и Interface – внешний интерфейс, затем на Advanced: IPsec Policy – in:ipsec.

/ip firewall filter
add action=accept chain=forward in-interface=ether1 ipsec-policy=in,ipsec

Оба правила следует расположить выше, чем запрещающие в каждой из цепочек.

Настройка sspt vpn сервера в mikrotik

Создание ip пула для vpn клиентов sstp

Настройка находится IP→Pool

/ip pool
add name=Ip-Pool-Vpn ranges=192.168.50.100-192.168.50.254

Добавление vpn профиля

Настройка находится PPP→Profiles

/ppp profile
add local-address=192.168.50.1 name=VPN-Profile remote-address=Ip-Pool-Vpn

Добавление учетной записи для vpn клиента sstp

Настройка находится PPP→Secrets

Поддержи автора статьи, сделай клик по рекламе ↓↓↓

Настройка sstp vpn сервера на роутере mikrotik

В рамках статьи будут рассмотрены две самые популярные связки: соединение типа роутер-клиент и роутер-роутер:

Настройка sstp сервера и клиента

Сегодня поговорим о том как настроить SSTP Server на MikroTik. Расшифровывается аббревиатура как Secure Socket Tunneling Protocol – PPP туннель аутентифицирует через TLS канал. Использует TCP порт 443 и фактически проходит через все фаерволы и прокси сервера.

• Безопасный, используются алгоритмы AES;
• Хорошо проходим, тесты показывают установку соединения из Тайландского WiFi в отеле и обычного Украинского провайдера;
• Полностью поддерживается MS Windows.

• работает на одном ядре;
• уязвим перед некоторыми атаками MITM (скорее фантастика).

В сегодняшней статье мы рассмотрим настройку SSTP сервера на роутере микротик с версией 6.46.4 и клиента на операционной системе Windows 10 Pro 1909. Идеальное решение для предоставления пользовательского подключения к корпоративной сети и не только.

Прикрутив коммерческий сертификат, вы снимаете с себя ручное добавление его в машинах Windows. Но в качестве демонстрации, мы будем использовать само подписанный. Так же возможно настроить Site to Site туннель между двумя Mikrotik, причем без них, что крайне не рекомендую.

Настройка маршрутизации

Если на предыдущих шагах все было сделано верно, то VPN-соединение между двумя офисами было установлено, но для того, что бы обе сети могли обмениваться информацией друг с другом они должны знать друг о друге, т. е. между ними должна быть настроена маршрутизация. Для этого надо выполнить следующие шаги:

Настройка подключения клиента в linux

Точно также начнем с сертификата, но в данном случае нам потребуется немного больше действий. Будем считать, что сертификат находится в корневой директории пользователя, для которого мы настраиваем подключение. Все последующие команды также следует выполнять от его имени.

Перейдем в домашнюю директорию и создадим скрытую папку для хранения ключей и сертификатов:

cd ~
mkdir .ikev2

Теперь нам нужно экспортировать из PKCS12 файла корневой сертификат CA, а также ключ и сертификат пользователя. Начнем с корневого сертификата:

openssl pkcs12 -in cert_export_SmirnovaMV.p12 -out .ikev2/IKEv2_CA.crt -nodes -nokeys -cacerts 

Затем экспортируем сертификат клиента:

openssl pkcs12 -in cert_export_SmirnovaMV.p12 -out .ikev2/SmirnovaMV.crt -nodes -nokeys

И его закрытый ключ. При экспорте закрытого ключа нас попросят установить для него пароль, минимальная длинна пароля 8 символов. Пропустить этот шаг нельзя.

openssl pkcs12 -in cert_export_SmirnovaMV.p12 -out .ikev2/SmirnovaMV.pass.key -nocerts

На каждом из этих этапов нам нужно будет вводить парольную фразу, указанную при экспорте сертификата пользователя на роутере.

И наконец уберем пароль с закрытого ключа пользователя:

openssl rsa -in .ikev2/SmirnovaMV.pass.key -out .ikev2/SmirnovaMV.key

Во время этого действия вы должны будете ввести пароль, который указали при создании ключа.

Для того, чтобы иметь возможность создавать VPN-подключения в графическом интерфейсе установим необходимый плагин для Network Manager:

sudo apt install network-manager-strongswan

После чего вам станут доступны настройки VPN IKEv2 соединения.

Настройки соединения достаточно просты. В секции Gateway указываем адрес сервера и путь к корневому сертификату CA. В секции Client устанавливаем Authentication: Certificate/private key и указываем пути к сертификату и закрытому ключу клиента.

Но никакой ошибки здесь нет. Просто Linux в данной ситуации поступает более правильно, вместо маршрута в системе создается соответствующая политика IPsec, которая направляет трафик к внутренней сети в туннель согласно тому, что мы указали в конфигурации клиента (Mode Configs) на роутере.

Освоить MikroTik вы можете с помощью онлайн-курса «Настройка оборудования MikroTik». В курсе изучаются все темы из официальной программы MTCNA. Автор – официальный тренер MikroTik. Материал подходит и тем, кто уже давно работает с оборудованием MikroTik, и тем, кто еще не держал его в руках. В состав входят 162 видеоурока, 45 лабораторных работ, вопросы для самопроверки и конспект.

Настройка подключения клиента в windows

Прежде всего импортируем сертификат, для этого можно просто выполнить двойной клик на файле сертификата, в открывшемся Мастере импорта в качестве Расположения хранилища укажите Локальный компьютер, остальные параметры принимаются по умолчанию.

Типа VPN укажем IKEv2, а в качестве Типа данных для входа – Сертификат. Также обратите внимание, что в строка Имя или адрес сервера должно совпадать с Common Name сертификата сервера, в противном случае подключение установить не удастся.Типа VPN укажем IKEv2, а в качестве Типа данных для входа – Сертификат. Также обратите внимание, что в строка Имя или адрес сервера должно совпадать с Common Name сертификата сервера, в противном случае подключение установить не удастся.После чего откроем свойства созданного подключения и перейдем на закладку Безопасность, где установим переключатель Проверка подлинности в положение Использовать сертификаты компьютеров.Как видим, маршрут к нашей внутренней сети 192.168.111.0/24 был добавлен автоматически и никаких ручных настроек клиента не требуется.

Проверка

Проверка заключается в проверке флагов сертификатов. Выдача должна выглядеть следующим образом: сертификат удостоверяющего центра должен иметь ключи: KLAT, остальные сертификаты: KI.

Предупреждение: На скриншоте изображено KAT, но должно быть KLAT

источник

Проверь себя

Есть простейшая схема

Настраивая src-nat вы допустили ошибку, прописав правило таким образом:

chain=srcnat action=masquerade

А должно быть

chain=srcnat action=masquerade out-interface=ether1

Я часто вижу, как «Инженеры», настраивая обычный NAT, вместо dst-nat используют netmap или same вместо srcnat. Работать конечно будет, но это не значит, что это правильно.

Если вы не можете с уверенностью ответить на выше поставленные вопросы или настраиваете MikroTik «копипастом» по чужим статьям, то курс будет для вас НЕОБХОДИМ. На всех без исключения сайтах, говорится о том, что курс «для всех тех», кто имеет дело с оборудование MikroTik — от менеджера по продажам и специалиста технической поддержки, до сетевого инженера.

К сожалению, это не так: менеджерам по продажам в большинстве случаев данный курс не потянуть, так как они должны обладать базовыми знаниями сетевых технологий. Конечно, сетевым инженерам и «бородатым» админам, которые уже изучили в процессе эксплуатации MikroTik самостоятельно курс будет скучен, а вот специалистам технической поддержки или админам желающим поднять свой уровень знаний будет в самый раз, собственный КПД будет зашкаливать за 100%.

Но повторюсь ещё раз, если вы планируете проходить дальнейшее обучение по более высоким уровням, то данный экзамен вам придётся пройти.

Сдал или не сдал?

Начнём с худшего варианта, если вы набрали менее 50%, то экзамен считается не пройденным (по утверждению моего тренера таких у него пока не было). Я могу ошибаться в цифрах (уточните у тренера), но если вы набрали 50-60%, то экзамен считается не пройденным, но вам будет предоставлен второй шанс через час на пересдачу.

За это время тренер посмотрит по каким темам вы «поплыли», и опять повторит для вас основные тезисы или разберёт непонятные моменты. Если вы набрали от 60% и выше, то вы становитесь обладателем сертификата. Для всех, кто успешно сдал экзамен, в личном кабинете, в подарок зачисляется лицензия 4-го левела.

Создание ssl сертификата в mikrotik для работы sstp vpn сервера

Эта общая настройка, на которую будут ссылаться две последующие конфигурации для Windows клиента, а также для SSTP клиента на второго роутера MikroTik.

Создание сертификата для центра сертификации(ca)

Настройка находится System→Certificates

Указать возможность подписи данным сертификатом других сертификатов

Подпись ca сертификата

Результат подписи сертификата и процесс

Поддержи автора статьи, сделай клик по рекламе ↓↓↓

Создание сертификата ssl для sstp vpn сервера

Указать возможность использовать этот сертификат в качестве клиентского и серверного сертификата

Подпись сертификата для sstp центром сертификации(ca)

Сертификаты для работы sstp vpn сервера в mikrotik

Создание центра сертификации и выпуск сертификатов

Когда мы говорим об использовании сертификатов для аутентификации, то подразумеваем наличие инфраструктуры открытых ключей (PKI), образующей область доверия, за счет чего появляется возможность проверки подлинности любого субъекта инфраструктуры без привлечения третьих служб и списков пользователей.

В нашем случае центр сертификации будет создан средствами RouterOS прямо на маршрутизаторе. Для этого перейдем в System – Certificate и выпустим корневой сертификат нашего CA.

Name – видимое имя сертификата и Common Name – имя субъекта, которому выдан сертификат, в нашем случае это ca. Key Size – размер ключа, ключи размером менее 2048 байт не считаются безопасными, Days Valid – время действия сертификата, в нашем случае 10 лет.

Выделенный зеленым блок не является обязательным, но мы советуем его заполнять, дабы в дальнейшем не пришлось угадывать, что это за сертификат и кому и кем он выдан.

Затем перейдем на закладку Key Usage и оставим только crl sign и key cert. sign, затем нажмем Apply, чтобы применить изменения, после чего подпишем сертификат. нажав кнопку Sign, в открывшемся окне укажем CA CRL Host, в качестве которого следует использовать один из IP-адресов роутера.

В терминале эти же действия можно выполнить командой:

/certificate 
add name=ca country="RU" state="31" locality="BEL" organization="Interface LLC" common-name="ca" key-size=2048 days-valid=3650 key-usage=crl-sign,key-cert-sign 
sign ca ca-crl-host=192.168.103.1

Следующим шагом выпустим сертификат сервера. Обратите внимание, что сервер обязательно должен иметь выделенный IP адрес и, желательно, доменное имя. Последнее условие не является обязательным, но предпочтительно, так как позволит отвязаться от использования адреса и в случае изменения IP вам не придется перевыпускать сертификаты и менять настройки клиентских подключений.

Common Name и Subject Alt. Name. Здесь мы указываем IP-адрес или FQDN по которому клиенты будут подключаться к серверу. Если вы используете IP-адрес, то тип записи в поле Subject Alt. Name нужно сменить на IP.

Обратите внимание, если вы выпустили сертификат с указанием FQDN, а подключить клиента попытаетесь по IP-адресу, либо наоборот, то такое соединение окажется невозможным.

На закладке Key Usage укажем единственное значение tls server и подпишем наш сертификат закрытым ключом центра сертификации CA.

Эти же действия в терминале:

/certificate 
add name=vpn.interface31.lab country="RU" state="31" locality="BEL" organization="Interface LLC" common-name="vpn.interface31.lab" subject-alt-name=DNS:"vpn.interface31.lab" key-size=2048 days-valid=3650 key-usage=tls-server 
sign vpn.interface31.lab ca="ca"

Теперь можно выпускать клиентские сертификаты, это можно сделать как сразу, так и потом. Никаких особых требований здесь нет, в качестве имени указывайте максимально понятное значение, скажем, ФИО сотрудника или наименование офиса. Потому как понять кому принадлежит сертификат с CN IvanovIA не составит особого труда, в отличие от какого-нибудь безликого client3. Также обратите внимание на опцию Days Valid, не следует выдавать клиентские сертификаты на большой срок.

Key Usage также указываем единственное назначение сертификата – tls client и подписываем его закрытым ключом CA.Key Usage также указываем единственное назначение сертификата – tls client и подписываем его закрытым ключом CA.

/certificate 
add name=SmirnovaMV country="RU" state="31" locality="BEL" organization="Interface LLC" common-name="SmirnovaMV" key-size=2048 days-valid=365 key-usage=tls-client 
sign SmirnovaMV ca="ca"

Для использования на клиентских устройствах сертификаты следует экспортировать, наиболее удобно использовать для этого формат PKCS12, который в одном файле содержит закрытый ключ клиента, его сертификат и корневой сертификат CA. Для этого выберите сертификат в списке и в меню правой кнопки мыши укажите действие Export.

Это же можно сделать командой:

/certificate
export-certificate SmirnovaMV type=pkcs12 export-passphrase=0123456789

Схема сети

В головном офисе установлен маршрутизатор GW1. Он же будет настроен в качестве VPN-сервера. В филиале установлен маршрутизатор GW2, который будет настроен как VPN-клиент. Аутентификация будет происходить по имени пользователя и паролю.

Головной офисIP-адрес внешней сети головного офиса: 10.1.100.0/24 IP-адрес внешнего интерфейса маршрутизатора GW1: 10.1.100.1/24

IP-адрес внутренней сети головного офиса: 192.168.15.0/24 IP-адрес внутреннего интерфейса маршрутизатора GW1: 192.168.15.1/24

ФилиалIP-адрес внешней сети головного офиса: 10.1.200.0/24 IP-адрес внешнего интерфейса маршрутизатора GW2: 10.1.200.1/24

IP-адрес внутренней сети головного офиса: 192.168.25.0/24 IP-адрес внутреннего интерфейса маршрутизатора GW2: 192.168.25.1/24

VPN-каналIP-адрес VPN-интерфейса маршрутизатора GW1: 172.16.30.1/32 IP-адрес VPN-интерфейса маршрутизатора GW2: 172.16.30.2/32

Типичные проблемы

• Если VPN-соединение между двумя маршрутизаторами MikroTik не устанавливается, то надо проверить:

1. Не мешает ли файервол. Для уверенности лучше временно отключить все правила файерволов на обоих маршрутизаторах. Стандартные настройки файерволов можно посмотреть здесь.
2. Совпадают ли имя пользователя и пароль на обоих маршрутизаторах.
3. На VPN-клиенте указан правильный адрес VPN-сервера к которому должно происходить подключение.

• Если не проходит ping между двумя компьютерами в разных сетях, то надо проверить:

1. Правильно ли сделаны настройки маршрутизации на обоих маршрутизаторах не зависимо от того из какой сети в какую будет идти пинг.
2. На брэндмауэре компьютера, который будет пинговаться, сделаны необходимые разрешения для протокола ICMP. Для уверенности можно отключить встроенный брэндмауэр и выгрузить антивирус.

Через графический интерфейс

Включить SSTP-сервер. Оставим только аутентификацию «mschap2» как наиболее надежную и отключим проверку клиентского сертификата.

Через консоль

Выполнить команду /interface sstp-server print — на сервере /interface sstp-client print — на клиенте Если соединение установлено успешно, то статус подключения, так же, как и через графический интерфейс, должен отображаться с буквой «R«.

Экспорт ssl сертификата для удаленных sstp vpn клиентов

Экспорт сертификата ca

Настройка находится System→Certificates

Указать тип сертификата и ключ

Выгрузка сертификата для vpn клиентов

Настройка находится Files→File List→Download

Пример выгруженного сертификата