Москва+7 (495) 103-4-103
Заказать звонок
  • Заказать звонок
  • Отложить 0 шт.
  • Сравнить 0 шт.
 04 Дек 2018    Настройка и установка оборудования , Практика и программирование , Firewall, PPTP  firewall, маршрутизатор, RB2011, NAS, vpn, Mikrotik hAP AC Lite, RB952Ui-5ac2nD, RB952Ui-5ac2nD-TC, PPtP, DDNS, Cloud, RB2011iL-RM

Случилось так, что родственники в деревне, к которым мы часто ездим в гости, подключились к Интернету. Эта новость меня очень обрадовала, так как мобильная сеть, которой мы обычно пользовались ловит более-менее только тогда, когда мобильный телефон лежит на настенных часах под самым потолком и раздает по Wi-Fi Интернет по дому.

Соответственно, появилась необходимость мониторить их маршрутизатор, а так же сделать удалённый доступ к моему домашнему NAS, чтобы можно было бабушкам и дедушкам показывать фотки и видео внучки (ну и наши тоже), а также периодически запрещать устройству ребёнка ютубить. Воплотить данную задачу в жизнь я решил используя маршрутизатор Mikrotik hAP AC Lite.

Провайдер, который предоставляет Интернет услуги в деревне, использует для подключения технологию динамический IP-адрес. Причем это адрес 10.X.X.X недоступный из внешней сети Интернет, поэтому есть необходимость организовать к нему доступ по типу облака. Мой провайдер предоставляет Интернет по той же технологии, но с реальным динамическим адресом. Поэтому я настроил следующую схему:

Первым делом, на ведущем маршрутизаторе RB2011 с сервером PPtP, необходимо включить функцию DDNS (так как выдается реальный динамический IP-адрес и при каждом новом подключении он может меняться).

Переходим IP -> Cloud и включаем данную функцию:

Если в поле “DNS Name” сразу после применения функции не появится сгенерированное имя сервера, то необходимо нажать кнопку “Force Update” и немного подождать. В последствии мы будем использовать это имя для настройки подключения PPtP-клиента на ведомом маршрутизаторе hAP AC Lite.

Так как существует очень много информации и описаний настройки PPtP сервер-клиент в Интернете, буду краток и начнём мы с ведущего RB2011:

  1. IP -> Firewall добавляем два правила с Action – accept, и обязательно двигаем их выше всех запрещающих, иначе все подключения vpn будут блокироваться:

2. PPP -> Secrets – +, добавляем пользователя, в моём случае это “babushka”:

3. Включаем PPtP-сервер, многие рекомендуют оставлять только надёжные методы аутентификации:

Настраиваем PPtP-клиента на маршрутизаторе hAP AC Lite:

  1. Interfaces -> + -> PPtP-Client:

После того, как соединение установлено, необходимо проверить каким образом на обоих маршрутизаторах осуществляется маскарадинг. Если на Out-Interface что-то есть, то необходимо добавить еще одно правило с маскарадингом на PPtP соединение, либо убрать полностью все интерфейсы (как у меня), тогда маскарадиться из локальной сети будут все исходящие соединения:

На данном этапе нам осталось выполнить одно простейшее действие – добавить наши сети в таблицы роутинга обоих маршрутизаторов. Делается это следующим образом – маршрутизатору RB2011 с внутренней сетью 192.168.77.0/24 добавляем:

При этом необходимо обратить внимание, что Gateway указан IP адрес удаленного PPtP-клиент соединения. Я ставил вначале интерфейс <pptp-babushka>, но при каждом новом подключении роутинг на данную сеть слетает, а при прописанном адресе остается. А вот на втором маршрутизаторе 192.168.1.1/24 можно указать интерфейс, но я сделал так же, как и на первом:

Проверить всё можно обычной командной ping, и доступ к ресурсам NAS с обычного проводника.

Также я добавил PPtP пользователя типа “бабушки” – себя, и настроил данное подключение на смартфоне, теперь у меня есть доступ к своей домашней сети из любой точки мира, плюс оттуда же и доступ к маршрутизатору бабули.

Итак, мы получили полный доступ к сетям маршрутизаторов с возможностью администрировать обе сети; доступ к NAS, то что и было нужно. Этим могут пользоваться администраторы сетей для обслуживания удаленно своих клиентов, а также малый и средний бизнес для удаленной работы. Таким же образом можно объединить несколько сетей через VPN.

Надеюсь, эта информация будет полезной.

 

Источник публикации