Форум программистов, компьютерный форум, киберфорум
Mikrotik
Войти
Регистрация
Восстановить пароль
 
Рейтинг 4.63/89: Рейтинг темы: голосов - 89, средняя оценка - 4.63
7 / 7 / 1
Регистрация: 27.11.2015
Сообщений: 442
1

Как открыть на Mikrotik VPN туннель для подключения по RDP?

13.06.2017, 04:55. Просмотров 17041. Ответов 19
Метки нет (Все метки)


Скажите пожалуйста как открыть на Mikrotik VPN туннель для подключение по RDP, наше сервер 1С обслуживаеть от за граница и сейчас они проста по внешные IP address подключаеться к наше сервер (наше данные взломщики уже 2 раза взломали) сейчас они скажут что поднимите VPN туннель для безопасносты данные и безопасное подключение.. Помогите пожалуйста как создать VPN туннель и добавить там только только их IP address чтобы только у них было доступ по RDP..
0
Programming
Эксперт
94731 / 64177 / 26122
Регистрация: 12.04.2006
Сообщений: 116,782
13.06.2017, 04:55
Ответы с готовыми решениями:

RDP c локальной машины из вне, через mikrotik (VPN pptp) на локальную машину, возможно?
Всем привет, собственно вопрос. Есть офис, в роли роутера выступает mikrotik, на котором сейчас...

Mikrotik приоритезация трафика для RDP
Всех приветствую ! Вроде как в сети и нашел несколько мануалов на эту тему, но хотелось бы тут еще...

Как сделать образ для загрузки через PXE и подключения по RDP?
всем привет! Пытаюсь найти какой нить линуксовый образ что-бы загружать его по сети PXE, и...

Как поднять VPN туннель между двумя роутерами?
Доброе время суток! Пожалуйста, не отсылайте меня в гугл или поиск - я уже три дня подряд весь...

19
Эксперт по компьютерным сетям
8382 / 5616 / 1392
Регистрация: 25.12.2012
Сообщений: 23,790
13.06.2017, 08:37 2
к серверу подключаются конечные пользователи?
если да, то можно например L2TP-сервер поднять
0
Эксперт по компьютерным сетям
3008 / 1709 / 362
Регистрация: 17.10.2015
Сообщений: 7,386
13.06.2017, 10:11 3
Цитата Сообщение от vahdat91 Посмотреть сообщение
открыть на Mikrotik VPN туннель для подключение по RDP
поднять VPN-сервер на микротике. Должен быть белый ip-адрес. На микротике настроить сервер (в тырнете куча инфы), завести пользователей, прописать правила. С удаленных машин соединяться клиентами к микротику.
Дайте схему обоих концов (где микротик и где клиенты)
0
7 / 7 / 1
Регистрация: 27.11.2015
Сообщений: 442
14.06.2017, 12:49  [ТС] 4
Цитата Сообщение от insect_87 Посмотреть сообщение
к серверу подключаются конечные пользователи?
если да, то можно например L2TP-сервер поднять
Да, только с 2 компьютера они подключаются к наше сервер, для обслуживании 1С...

Добавлено через 23 часа 3 минуты
Цитата Сообщение от romsan Посмотреть сообщение
поднять VPN-сервер на микротике. Должен быть белый ip-адрес.
У меня есть белые IP ADDRESS.
Цитата Сообщение от romsan Посмотреть сообщение
На микротике настроить сервер (в тырнете куча инфы), завести пользователей, прописать правила.
Тот пользователь которые к нам подключается по RDP или все пользователи которые используют интернет внутри наше компании?
Цитата Сообщение от romsan Посмотреть сообщение
Дайте схему обоих концов (где микротик и где клиенты)
Схема интернет?
У нас так: Media Converter - Cisco Catalist 2960 - потом от этого Cisco идут кабель и на микротик и на сервер и на все остальные клиенты.

Добавлено через 2 минуты
Цитата Сообщение от romsan Посмотреть сообщение
где микротик и где клиенты
Микротик и сервер в Таджикистан а удалённая сторона Азербайджан.
0
Эксперт по компьютерным сетям
3008 / 1709 / 362
Регистрация: 17.10.2015
Сообщений: 7,386
14.06.2017, 13:43 5
Цитата Сообщение от vahdat91 Посмотреть сообщение
Media Converter - Cisco Catalist 2960
а разве на Cisco нельзя поднять VPN-сервер? (Не знаком с Cisco)
Цитата Сообщение от vahdat91 Посмотреть сообщение
от этого Cisco идут кабель и на микротик
для чего? и микротик какой?
Цитата Сообщение от vahdat91 Посмотреть сообщение
завести пользователей
пользователей для соединения с VPN-сервером. Имена VPN-клиентов
Цитата Сообщение от vahdat91 Посмотреть сообщение
прописать правила
правила кому куда можно ходить, кому что разрешено и пр.
0
Эксперт по компьютерным сетям
8382 / 5616 / 1392
Регистрация: 25.12.2012
Сообщений: 23,790
15.06.2017, 07:39 6
Цитата Сообщение от romsan Посмотреть сообщение
а разве на Cisco нельзя поднять VPN-сервер? (Не знаком с Cisco)
2960 - свитч второго уровня, нельзя. там просто в отдельной vlan uplink на роутер приходит.
vahdat91, я во втором посте ответил, читай в сторону: как поднять L2TP-сервер (ну или PPTP-cсервер) на микротике.
0
Эксперт по компьютерным сетям
3008 / 1709 / 362
Регистрация: 17.10.2015
Сообщений: 7,386
15.06.2017, 08:48 7
vahdat91, значит, поднимаем VPN-сервер на микротике (как? гугл в помощь), настраиваем правила и фсё....
0
Модератор
Эксперт по компьютерным сетям
1093 / 495 / 91
Регистрация: 10.06.2009
Сообщений: 2,016
16.06.2017, 18:12 8
У микротика много вариантов GRE, IPsec, L2TP, OVPN, PPTP. Указаны в порядке надёжности и простоте настройки.
0
Эксперт по компьютерным сетям
8382 / 5616 / 1392
Регистрация: 25.12.2012
Сообщений: 23,790
16.06.2017, 18:55 9
GRE (так же как и IPIP) - чистая инкапсуляция без шифрования и используется обычно в паре с IPSEC, последний собственно и обеспечивает шифрование.
так же и на втором уровне EoIP
1
Модератор
Эксперт по компьютерным сетям
1093 / 495 / 91
Регистрация: 10.06.2009
Сообщений: 2,016
16.06.2017, 23:19 10
insect_87, Я плохо обьяснил. GRE с заданием пароля использует IPSec. Так-же есть вариант IPIP с заданием пароля IPSec.
0
Эксперт по компьютерным сетям
8382 / 5616 / 1392
Регистрация: 25.12.2012
Сообщений: 23,790
17.06.2017, 11:28 11
Цитата Сообщение от NoNaMe Посмотреть сообщение
GRE с заданием пароля использует IPSec. Так-же есть вариант IPIP с заданием пароля IPSec.
GRE и IPIP - инкапсуляция
IPSEC - шифрование в 2 фазы, можно использовать как ключ, так и центр сертификации
0
7 / 7 / 1
Регистрация: 27.11.2015
Сообщений: 442
17.06.2017, 15:06  [ТС] 12
Цитата Сообщение от insect_87 Посмотреть сообщение
как поднять L2TP-сервер (ну или PPTP-cсервер) на микротике.
начал создать VPN туннель но несколько вопросов есть..
IP - Pool / Определям диапазон адресов VPN-пользователей
1)Что это означает ведь у меня IP сервер 192.168.1.2 и я только хочу открыть VPN туннель. (Чтобы у них было соединение как у RDP).
2) Версия система MikroTik у меня RouterOS 6.23, это нормально или надо установить последные обновление?
0
Эксперт по компьютерным сетям
8382 / 5616 / 1392
Регистрация: 25.12.2012
Сообщений: 23,790
17.06.2017, 16:34 13
Цитата Сообщение от vahdat91 Посмотреть сообщение
IP - Pool / Определям диапазон адресов VPN-пользователей
да , это адреса конечных пользователей/ туннельные.
Цитата Сообщение от vahdat91 Посмотреть сообщение
2) Версия система MikroTik у меня RouterOS 6.23, это нормально или надо установить последные обновление?
лучше все package обнови
1 - не понял
0
7 / 7 / 1
Регистрация: 27.11.2015
Сообщений: 442
17.06.2017, 17:55  [ТС] 14
Цитата Сообщение от insect_87 Посмотреть сообщение
да , это адреса конечных пользователей/ туннельные.
Их белые IP аддресса надо написать или внутренные?
Я так понимаю если я здесь добавлю IP аддресса тот фирма которые обслуживает наше 1С только у них будет это туннель доспупно? и только у них появляется подключение по RDP к серверу?
А разьве нету такого варианта чтобы после установки VPN например я сам смог от любой компьютер которые имеет интернет подключиться к серверу по таким схемам Настройка нового подключения или сети - Подключение к рабочему месту?
0
Эксперт по компьютерным сетям
8382 / 5616 / 1392
Регистрация: 25.12.2012
Сообщений: 23,790
20.06.2017, 12:36 15
Цитата Сообщение от vahdat91 Посмотреть сообщение
Их белые IP аддресса надо написать или внутренные?
серые - адреса vpn-клиентов.
Цитата Сообщение от vahdat91 Посмотреть сообщение
А разьве нету такого варианта чтобы после установки VPN например я сам смог от любой компьютер которые имеет интернет подключиться к серверу по таким схемам Настройка нового подключения или сети - Подключение к рабочему месту?
не понял вопрос
0
0 / 0 / 0
Регистрация: 08.06.2017
Сообщений: 8
22.06.2017, 10:53 16
Цитата Сообщение от vahdat91 Посмотреть сообщение
Их белые IP аддресса надо написать или внутренные?
Указывается диапазон адресов, которые будут выданы vpn клиентам.
Цитата Сообщение от vahdat91 Посмотреть сообщение
Я так понимаю если я здесь добавлю IP аддресса тот фирма которые обслуживает наше 1С только у них будет это туннель доспупно? и только у них появляется подключение по RDP к серверу?
нет.
Цитата Сообщение от vahdat91 Посмотреть сообщение
А разьве нету такого варианта чтобы после установки VPN например я сам смог от любой компьютер которые имеет интернет подключиться к серверу по таким схемам Настройка нового подключения или сети - Подключение к рабочему месту?
Если я правильно понял - то да, сможете подключиться с любого компьютера к своему VPN серверу.

Цитата Сообщение от vahdat91 Посмотреть сообщение
Помогите пожалуйста как создать VPN туннель и добавить там только только их IP address чтобы только у них было доступ по RDP..
Добавьте, их "белый" IP в правило фаерволла которое открывает порты 1701, 500, 4500.
Могу ошибаться.
0
Эксперт по компьютерным сетям
3008 / 1709 / 362
Регистрация: 17.10.2015
Сообщений: 7,386
22.06.2017, 11:28 17
Опишу попонятнее поднятие VPN (PPtP):
1) Открываем Winbox, идем в РРР->Secrets
2) Здесь добавляем пользователей, которые могут подключаться к VPN-серверу
Имя (Petrov)
Passwords
Service - PPtP
Profile - (здесь выбираем тот профиль, который у Вас используется в закладке Profile)
Local address - Локальный адрес туннеля (10.0.100.1)
Remote address - адрес для данного клиента (10.0.100.2) для Petrov
Routes - (здесь прописываем маршрут доступа клиента с адресом 10.0.100.2 до Вашей внутренней сети с сервером) Например, 192.168.1.0/24 10.0.100.2 (т.е. разрешить 10.0.100.2 доступ к всей сети 192.168.1.0/24) Можно прописать 192.168.1.252 10.0.100.2 т.е. разрешить маршрут только до адреса 192.168.1.252 на котором у Вас терминальный сервер)
3) Тоже самое прописываем для другого пользователя (Ivanov)
Имя (Ivanov)
Passwords
Service - PPtP
Profile - (здесь выбираем тот профиль, который у Вас используется в закладке Profile)
Local address - Локальный адрес туннеля (10.0.100.1)
Remote address - адрес для данного клиента (10.0.100.3) для Ivanov
Routes - (сдесь прописываем маршрут доступа клиента с адресом 10.0.100.3 до Вашей внутренней сети с сервером) Например, 192.168.1.0/24 10.0.100.3 (т.е. разрешить 10.0.100.3 доступ к всей сети 192.168.1.0/24)
4) Переходим в закладку Interface, жмем PPTP Server и ставим галочку Enable
5) Теперь прописываем разрешение для нашего туннеля, открываем Filter->Rules и прописываем правило
Visual Basic
1
2
3
4
5
chain=input action=accept protocol=tcp in-interface=(Ваше внешнее соединение с интернетом) dst-port=1723 
      log=no log-prefix="" 
 
chain=input action=accept protocol=gre in-interface=(Ваше внешнее соединение с интернетом) log=no 
      log-prefix=""
Этими правилами Вы разрешаете подключаться по порту 1723 на вход и также разрешаете использовать протокол GRE
-------------------------------
Естественно, на стороне VPN-сервера у Вас должен быть статический адрес. Соответственно, на любом ПК из интернета, настраиваете удаленное подключение по VPN, прописываете ip-адрес, авторизацию (Ivanov) и указанный Вами пароль для Ivanov. После чего соединение должно установиться и Ваш ПК получит доступ к сети 192.168.1.0
Вот тут самое интересное, дело в том, что необходимо настроить сети так, чтобы их подсети не были одинаковы. Т.е. если Вы соединяетесь с ПК, который, например, подключен к роутеру имеющему такую же подсеть как и на стороне VPN-сервера - будут проблемы. Необходимо организовать разные подсети. Например, на стороне сервера, настроить сеть в диапазоне 192.168.35.0/24, тогда при подключении Вашего ПК из сети 192.168.1.0/24 не будет проблем.
Если Ваш терминальный сервер имеет адрес 192.168.35.252, то при установке VPN-соединения данный адрес от Вашего ПК должен пинговаться, и Вы бонально запускаете Подключение к удаленному рабочему столу, прописываете в строке сервера его адрес 192.168.35.252 и авторизацию для RDP-сервера
0
7 / 7 / 1
Регистрация: 27.11.2015
Сообщений: 442
23.06.2017, 15:56  [ТС] 18
Цитата Сообщение от pbx Посмотреть сообщение
Указывается диапазон адресов, которые будут выданы vpn клиентам.
Здесь могу только одного IP написать? потому что мне только на сервер нужен подключение..
0
Эксперт по компьютерным сетям
3008 / 1709 / 362
Регистрация: 17.10.2015
Сообщений: 7,386
23.06.2017, 17:09 19
Цитата Сообщение от romsan Посмотреть сообщение
Local address - Локальный адрес туннеля (10.0.100.1)
Remote address - адрес для данного клиента (10.0.100.2) для Petrov
Вам не понятно это? Для каждого пользователя свой ip-адрес. Один пользователь - один ip-адрес
0
0 / 0 / 0
Регистрация: 28.02.2017
Сообщений: 50
23.06.2017, 21:06 20
Настройте ovpn, скачайте клиент по Винду.
Пропишите на сервисы с какого ip можно работать
Настройтте firewall+address list

Наслаждайтесь, генерьте и отзывайте сертификаты кому разрешено ходить по ovpn
0
IT_Exp
Эксперт
87844 / 49110 / 22898
Регистрация: 17.06.2006
Сообщений: 92,604
23.06.2017, 21:06

Заказываю контрольные, курсовые, дипломные и любые другие студенческие работы здесь или здесь.

Как открыть порт 3389 для RDP?
Здравствуйте. Мне нужно открыть порт 3389 для RDP. Пробросил его на роутере. Создал правило в...

RDP через SSH туннель
Здравствуйте. Передо мной стоит цель получить удаленный доступ через RDP к машине с Linux через...

Как создать VPN или что-то похожее для подключения к этой сети из дома?
Доброго вечера, уважаемые форумчане! Я не особо компетентен в вопросах о сетях, поэтому постараюсь...

VPN Туннель
Нужно сделать две подсети, чтобы они могли контактировать друг с другом. Имеется ADSL модем с...


Искать еще темы с ответами

Или воспользуйтесь поиском по форуму:
20
Ответ Создать тему
Опции темы

КиберФорум - форум программистов, компьютерный форум, программирование
Powered by vBulletin® Version 3.8.9
Copyright ©2000 - 2021, vBulletin Solutions, Inc.