Jak rozjet PPTP na Mikrotiku
V dnešním článku se budeme věnovat praktickému návodu, jak rozjet PPTP VPN server na routeru Mikrotik a umožnit zabezpečený přístup do lokální sítě zvenčí. To je vhodné například ve firmách, kde externí pracovníci potřebují přístup k interním síťovým prvkům ve firmě – například sdílenému úložišti. Ovšem i v domácích podmínkách to je zajímavé řešení – můžete si například svůj počítač vzdáleně probudit a dostat se ke svému archivu fotografií i z druhého konce světa.
Nejdříve si ale popíšeme co to PPTP (Point-to-point Tunneling Protocol) vlastně je. Jedná se o protokol, který umožňuje vytvářet VPN (Virtual Private Network) napříč globálními sítěmi. Umožňuje šifrovaným tunelem spojit za využití Internetu různé lokality bez nutnosti dedikované linky. Je pravdou, že protokol PPTP je již za zenitem a aktuálně se spíše používá novější verze L2TP, nebo komunitní implementace VPN – OpenVPN, nicméně vzhledem k jednoduchosti nasazení se zaměřím právě na PPTP.
Protokol PPTP využívá pro své šíření protokolu GRE (47) a TCP portu číslo 1723, pokud Váš router Mikrotik nedisponuje veřejnou IP adresou a nachází se za NAT, nezapomeňte si dané protokoly/porty přesměrovat. Dále je třeba zvážit verzi RouterOS vašeho routeru Mikrotik, nicméně běžně používaná verze 4 je limitována počtem dvou set PPTP tunelů, což je rozhodně nad rámec HW možností.
Nyní k věci. Přihlašte se pomocí nástroje Winbox ke svému routeru Mikrotik. Hlavní nastavení se nachází v sekci PPP, nicméně do začátku je vhodné provést drobnou přípravu:
1) V sekci Interfaces je nutno na rozhraní lokální stě aktivovat položku ARP:proxy-arp, bez tohoto nebude při připojení přes VPN dostupná vnitřní síť, ale pouze router.
2) V sekci IP – IP pool je vhodné předdefinovat rozsah adres, které bude PPTP server přiřazovat klientům, v daném příkladě se jedná o rozsah 10.10.0.200-209. K PPTP serveru se tedy bude moci přihlásit maximálně 10 uživatelů.
3) Dále je třeba vytvořit profil PPTP připojení, využijeme zde předvytvořený rozsah IP adres a dále je třeba definovat IP adresy PPTP serveru a DNS serveru. V obou případech se jedná o interní adresu routeru. V záložce Protocols silně doporučuji zaškrnout volbu „Use Encryption“ na „yes“
4) Nyní si nastavíme uživatelské účty s oprávněním k přístupu k PPTP serveru. Je vhodné použít dostatečně silná hesla, aby nebyl PPTP server pro potencionálního útočníka lehkým cíle. Nastavení se provádí v záložce Secrets. Je nutné vybrat vytvořený profil a také službu, ke které má uživatel oprávnění
5) Nyní již můžeme zapnout samotný PPTP server. V nabídce PPP a PPTP server a zaškrtněte políčko Enabled a je hotovo.
6) Aktivitu jednotlivých uživatelů můžete sledovat v logu routeru (položka Log v hlavním menu), počet logovaných položek a podrobnost logování lze nastavit v Systém-Logging.
Jak vidíte, tak zprovoznit PPTP sever na routeru Mikrotik není žádná velká věda. Při využití routeru RB750G jsem ani při 15 připojených uživatelích a 128bitovém šifrování nezaznamenal žádné problémy se stabilitou, takže lze dané řešení bez problémů nasadit v menších sítích.
V Brně 9. 9. 2011
Mgr. Radek Šembera